كشف Storm-1175: مجموعة مرتبطة بالصين تنشر برنامج فدية Medusa في أقل من 24 ساعة

نُشر في أبريل 8, 2026 · بواسطة ALGERIATECH Editorial

⚡ أبرز النقاط

ربطت Microsoft مجموعة Storm-1175 المتمركزة في الصين بحملات برنامج فدية Medusa التي تستغل أكثر من 16 ثغرة في 10 منتجات برمجية، مع نشر كامل خلال 24 ساعة. تم تسليح ثغرتي zero-day في GoAnywhere MFT وSmarterMail قبل وجود تصحيحات. الصحة والتعليم والمالية هي الأهداف الرئيسية.

خلاصة: دققوا فوراً جميع المثيلات المواجهة للإنترنت من المنتجات البرمجية العشرة المُسماة واضغطوا دورات التصحيح إلى أيام وليس أسابيع.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الأهمية بالنسبة للجزائر
عالية
▾

تستخدم جهود الرقمنة الصحية في الجزائر وتوسع الخدمات الحكومية المواجهة للإنترنت العديد من المنتجات البرمجية نفسها التي يستهدفها Storm-1175 (Exchange، Ivanti، ConnectWise). دورات التصحيح في المنظمات الجزائرية عادة أبطأ من نافذة الاستغلال البالغة 24 ساعة.

البنية التحتية جاهزة؟
لا
▾

تفتقر معظم المنظمات الجزائرية إلى فرق SOC مخصصة وإدارة تصحيحات آلية وتجزئة الشبكة اللازمة للدفاع ضد هذه السرعة في الهجوم. يوجد CERT.dz لكن التغطية محدودة.

المهارات متوفرة؟
محدودة
▾

تمتلك الجزائر قوة عاملة صغيرة لكن متنامية في الأمن السيبراني. ومع ذلك، قدرات الاستجابة للحوادث لبرامج الفدية بسرعة الدول معدومة عملياً خارج حفنة من المؤسسات الكبيرة.

الجدول الزمني للعمل
فوري
▾

يجب على المنظمات التي تشغل أياً من المنتجات البرمجية العشرة المستهدفة التحقق من حالة التصحيحات اليوم. نافذة الثغرات التي يستغلها Storm-1175 تُقاس بالأيام وليس بالأشهر.

أصحاب المصلحة الرئيسيون
CERT.dz، مدراء تقنية المعلومات في وزارة الصحة، مسؤولو أمن المعلومات في البنوك الجزائرية، مدراء تقنية المعلومات في الجامعات، فرق الأمن في Sonatrach وSonelgaz، مقدمو الخدمات المدارة.

نوع القرار
تكتيكي
▾

يتطلب هذا إجراءً دفاعياً فورياً: تدقيق الأصول المواجهة للويب، وتسريع التصحيحات للمنتجات المذكورة، ومراقبة إساءة استخدام أدوات RMM، وإنشاء كشف التسريب لأنماط حركة مرور من نوع Rclone.

خلاصة سريعة: يُعد أسلوب Storm-1175 في استغلال فجوة التصحيح والنشر خطيراً بشكل خاص على المنظمات الجزائرية، حيث تمتد دورات التصحيح غالباً لأسابيع أو أشهر. أي مؤسسة تشغل Exchange أو Ivanti أو ConnectWise أو GoAnywhere MFT يجب أن تعامل هذا كأولوية فورية وتضغط الجداول الزمنية للتصحيح إلى أيام وليس أسابيع.

شريك فدية يعمل بسرعة الدول

في 6 أبريل 2026، نشر فريق Threat Intelligence في Microsoft مدونة تقنية مفصلة تكشف Storm-1175، وهو فاعل تهديد ذو دوافع مالية متمركز في الصين يعمل كشريك لبرنامج فدية Medusa منذ عام 2023 على الأقل. ما يميز Storm-1175 عن فرق الفدية النموذجية ليس هويتهم فحسب، بل سرعتهم: من اختراق الشبكة الأولي إلى نشر كامل لبرنامج الفدية في أقل من 24 ساعة.

يأتي هذا الكشف بعد أقل من عام من إصدار FBI وCISA ومركز تبادل المعلومات والتحليل متعدد الولايات (MS-ISAC) تحذيراً مشتركاً في مارس 2025 بأن برنامج فدية Medusa أثر بالفعل على أكثر من 300 منظمة بنية تحتية حيوية في الولايات المتحدة. يضيف تحديد Storm-1175 بُعداً دولتياً لما كان بالفعل واحدة من أكثر عمليات الفدية عدوانية في مشهد التهديدات الحالي.

دليل عمل Storm-1175

يعمل Storm-1175 بمنهجية ثابتة وفعالة بشكل مثير للقلق. تستهدف المجموعة الأصول المواجهة للويب خلال النافذة الحرجة بين الكشف عن الثغرة وانتشار تطبيق التصحيحات، وهي فترة تبقى فيها العديد من المنظمات مكشوفة.

منذ 2023، رصدت Microsoft استغلال Storm-1175 لأكثر من 16 ثغرة تمتد عبر 10 منتجات برمجية مختلفة. تُقرأ الأهداف كمقطع عرضي للبنية التحتية لتقنية المعلومات المؤسسية: Microsoft Exchange (CVE-2023-21529)، PaperCut، Ivanti Connect Secure وPolicy Secure، ConnectWise ScreenConnect، JetBrains TeamCity، SimpleHelp، CrushFTP، SmarterMail، BeyondTrust، وGoAnywhere Managed File Transfer.

تُبدّل المجموعة الاستغلالات بسرعة، متبنية سلاسل ثغرات جديدة بمجرد توفرها. هذا الإيقاع التشغيلي يعني أن Storm-1175 لا تعتمد على أي استغلال واحد لفترة طويلة. عندما يُصحح ثغرة ما، ينتقلون إلى التالية، محافظين على خط أنابيب مستمر من نواقل الدخول.

ثغرتا zero-day، إخفاقان حرجان

العنصر الأكثر إثارة للقلق في عمليات Storm-1175 هو استخدامهم لثغرات zero-day، وهي نقاط ضعف يتم استغلالها قبل أن يعلم المورّدون بوجودها.

CVE-2025-10035، ثغرة بأقصى درجة خطورة في منصة GoAnywhere Managed File Transfer، استُغلت من قبل Storm-1175 قبل نحو أسبوع من الكشف العلني عنها وتصحيحها. يُستخدم GoAnywhere MFT على نطاق واسع في قطاعات الصحة والمالية والحكومة لنقل الملفات الآمن، مما يجعل هذه الثغرة خطيرة بشكل خاص للمنظمات التي تتعامل مع بيانات حساسة.

CVE-2026-23760، ثغرة حرجة لتجاوز المصادقة في SmarterMail من SmarterTools، استُغلت بالمثل قبل نحو أسبوع من الكشف العلني. تُعد ثغرات تجاوز المصادقة من أكثر أنواع الثغرات تدميراً لأنها تسمح للمهاجمين بتسجيل الدخول إلى الأنظمة كمستخدمين شرعيين، متجاوزين جميع ضوابط الوصول.

يمثل استخدام ثغرات zero-day من قبل شريك فدية ذي دوافع مالية تصعيداً كبيراً. يتطلب تطوير أو الحصول على ثغرات zero-day موارد كبيرة وتطوراً تقنياً، وهي قدرات مرتبطة تقليدياً بمجموعات التجسس المدعومة من الدولة وليس بمشغلي الفدية الإجراميين. يثير وصول Storm-1175 إلى هذه الاستغلالات تساؤلات حول العلاقة بين جهاز الاستخبارات الصيني ومنظومته الإجرامية السيبرانية.

من الاختراق إلى برنامج الفدية في ساعات

بمجرد حصول Storm-1175 على الوصول الأولي، تتبع المجموعة تسلسل استغلال لاحق منهجي مصمم للسرعة.

إقامة الثبات. ينشئ المهاجمون حسابات مستخدمين جديدة على الأنظمة المخترقة، مما يضمن الحفاظ على الوصول حتى لو صُححت الثغرة الأولية. كما ينشرون واجهات ويب خلفية توفر باباً خلفياً مستمراً عبر خادم الويب.

الحركة الجانبية. يثبّت Storm-1175 برامج مراقبة وإدارة عن بُعد (RMM) شرعية للتنقل عبر الشبكة. باستخدام أدوات متاحة تجارياً بدلاً من برمجيات خبيثة مخصصة، يمتزج نشاط المجموعة مع عمليات تقنية المعلومات المشروعة، مما يجعل الكشف أصعب بكثير.

سرقة بيانات الاعتماد. تحصد المجموعة بيانات الاعتماد من الأنظمة المخترقة، مما يمكنها من رفع الامتيازات والوصول إلى قطاعات شبكة إضافية. تسمح بيانات الاعتماد المسروقة أيضاً بالانتقال إلى أنظمة قد لا تكون عرضة مباشرة للاستغلال الأولي.

التهرب الأمني. قبل نشر برنامج الفدية، يتدخل Storm-1175 بنشاط في حلول الأمان، معطلاً أدوات كشف نقاط النهاية وبرامج مكافحة الفيروسات لضمان تنفيذ حمولة الفدية دون انقطاع.

تسريب البيانات. تستخدم المجموعة Bandizip لجمع الملفات وRclone لتسريب البيانات، مزامنة الملفات المسروقة مع تخزين سحابي يتحكم فيه المهاجمون. تصبح هذه البيانات المُسرّبة وسيلة ضغط لنموذج الابتزاز المزدوج لـ Medusa: ادفع الفدية أو تُنشر البيانات.

نشر برنامج الفدية. أخيراً، يُنشر برنامج فدية Medusa ليشفر الأنظمة عبر شبكة الضحية. في الحالات الأكثر عدوانية، تكتمل التسلسل بأكمله من الوصول الأولي إلى نشر الفدية خلال 24 ساعة.

قطاع الصحة في مرمى النيران

يميل ملف استهداف Storm-1175 بشدة نحو القطاعات التي تخلق فيها حساسية البيانات والإلحاح التشغيلي أقصى ضغط للدفع. منظمات الرعاية الصحية هي الأهداف الرئيسية، تليها التعليم والخدمات المهنية والمالية. جغرافياً، تتركز الهجمات على أستراليا والمملكة المتحدة والولايات المتحدة.

التركيز على الرعاية الصحية مقلق بشكل خاص. لا تستطيع المستشفيات وأنظمة الرعاية الصحية تحمل فترات توقف طويلة؛ السجلات الطبية المشفرة وأنظمة التصوير المعطلة والسجلات الصحية الإلكترونية المقفلة يمكن أن تعرض حياة المرضى للخطر مباشرة. هذا الإلحاح التشغيلي يجعل منظمات الرعاية الصحية أكثر عرضة لدفع الفدية بسرعة، وهو بالضبط السبب في استهداف فاعلي التهديد لها.

أشار تحذير CISA في مارس 2025 إلى أن Medusa أثرت بالفعل على القطاعات الطبية والتعليمية والقانونية والتأمينية والتكنولوجية والتصنيعية. كشفت تحقيقات FBI أيضاً عن أدلة على ابتزاز ثلاثي محتمل: بعد أن دفعت ضحية الفدية، ادعى فاعل آخر في Medusa أن المفاوض سرق الدفعة وطالب بنصف المبلغ مجدداً مقابل “أداة فك التشفير الحقيقية”.

منظومة Ransomware-as-a-Service

يعمل Medusa كمنصة ransomware-as-a-service (RaaS)، تم تحديدها لأول مرة في يونيو 2021. وفق هذا النموذج، يوفر مطورو Medusa مجموعة أدوات الفدية والبنية التحتية وخدمات التفاوض، بينما يتولى الشركاء مثل Storm-1175 الاختراقات والنشر الفعلي.

هذا النموذج التجاري هو ما يجعل الارتباط الصيني لـ Storm-1175 ذا أهمية. تسمح منظومة RaaS لفاعلين بدوافع مختلفة — مالية أو استراتيجية أو استخباراتية — بمشاركة البنية التحتية والتكتيكات. شريك صيني يعمل ضمن منصة فدية عالمية يطمس الخط الفاصل الضبابي أصلاً بين العمليات المدعومة من الدولة والمؤسسات الإجرامية.

يستفيد الترتيب من الطرفين. يحصل Storm-1175 على وصول إلى منصة فدية ناضجة مع بنية تحتية ابتزاز راسخة. ويكسب مشغلو Medusa شريكاً بإمكانية الوصول إلى ثغرات zero-day والانضباط التشغيلي لتنفيذ هجمات بسرعة الدول.

الأولويات الدفاعية

يوفر كشف Microsoft مؤشرات تقنية محددة يجب على فرق الأمن التصرف بناءً عليها فوراً.

تسريع إدارة التصحيحات. يعتمد نموذج Storm-1175 بأكمله على استغلال الفجوة بين الكشف والتصحيح. يجب على المنظمات ضغط دورات التصحيح للأصول المواجهة للإنترنت، خاصة للمنتجات البرمجية العشرة المحددة في تقرير Microsoft.

جرد الأصول المواجهة للويب. تستهدف المجموعة بشكل خاص أنظمة المحيط المكشوفة. تحتاج المنظمات إلى رؤية كاملة لسطح هجومها على الإنترنت، بما في ذلك أنظمة تقنية المعلومات المنسية أو الظلية التي قد تشغل برمجيات ضعيفة.

مراقبة أدوات RMM. يعني استخدام Storm-1175 لأدوات الإدارة عن بُعد المشروعة للحركة الجانبية أن الكشف لا يمكن أن يعتمد فقط على توقيعات البرمجيات الخبيثة. يجب على فرق الأمن مراقبة تثبيتات RMM غير المصرح بها وأنماط الوصول عن بُعد الشاذة.

كشف التسريب. يُنشئ استخدام المجموعة لـ Rclone لسرقة البيانات أنماطاً شبكية قابلة للكشف. يمكن لمراقبة عمليات النقل الحجمية غير المتوقعة إلى خدمات التخزين السحابي، خاصة من خوادم الملفات وأنظمة قواعد البيانات، توفير إنذار مبكر.

نظافة بيانات الاعتماد. يمكن لتطبيق المصادقة متعددة العوامل المقاومة للتصيد ومراقبة إعادة استخدام بيانات الاعتماد ونشر إدارة الوصول المتميز الحد من قدرة Storm-1175 على رفع الامتيازات بعد الوصول الأولي.

سرعة وتطور عمليات Storm-1175 تجعل أمراً واحداً واضحاً: النهج التقليدي في تطبيق التصحيحات عند الراحة لم يعد قابلاً للتطبيق ضد خصوم قادرين على الانتقال من ثغرة zero-day إلى نشر الفدية في أقل من 24 ساعة.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn

تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

الأسئلة الشائعة

ما الذي يميز Storm-1175 عن مجموعات الفدية النموذجية؟

يجمع Storm-1175 بين سرعة وتطور فاعل تهديد مدعوم من دولة مع الدافع المالي لعملية فدية إجرامية. تستغل المجموعة ثغرات zero-day (عيوب يتم استغلالها قبل وجود تصحيحات)، وتتناوب على أكثر من 16 استغلالاً عبر 10 منتجات، ويمكنها الانتقال من الاختراق الأولي إلى النشر الكامل للفدية في أقل من 24 ساعة. تستغرق معظم مجموعات الفدية أياماً أو أسابيع لإكمال هذه الدورة.

كيف يعمل نموذج ransomware-as-a-service لـ Medusa؟

يعمل Medusa كمنصة حيث يبني المطورون ويحافظون على مجموعة أدوات الفدية والبنية التحتية للابتزاز وخدمات التفاوض، بينما يتولى الشركاء مثل Storm-1175 الاختراقات الفعلية. يحصل الشركاء على وصول إلى تقنية فدية مثبتة؛ ويكسب مشغلو المنصة شركاء ذوي وصول متخصص وقدرات متقدمة. يسمح تقسيم العمل هذا لمجموعات ذات دوافع ومهارات مختلفة بالتعاون بكفاءة.

ما الخطوات الفورية التي يجب على المنظمات اتخاذها للدفاع ضد Storm-1175؟

ثلاث أولويات: أولاً، تدقيق وتصحيح جميع المثيلات المواجهة للإنترنت للمنتجات البرمجية العشرة المذكورة في تقرير Microsoft (Exchange، PaperCut، Ivanti، ConnectWise، TeamCity، SimpleHelp، CrushFTP، SmarterMail، BeyondTrust، GoAnywhere MFT). ثانياً، مراقبة التثبيتات غير المصرح بها لأدوات الإدارة عن بُعد التي يستخدمها Storm-1175 للحركة الجانبية. ثالثاً، نشر قواعد كشف لأنماط تسريب بيانات Rclone وBandizip، التي توفر إنذاراً مبكراً قبل نشر الفدية.