احتمالاً شما هم مثل من، هر روز صبح با سیلی از اخبار امنیت سایبری مواجه میشوید: آسیبپذیری جدید، باجافزار فلان، گروه هکری بهمان. این حجم از خبر آدم را خسته میکند. اما اگر به شما بگویم لابهلای این هیاهو، داستانهایی پنهان شده که نه تنها مهم، بلکه به طرز شگفتآوری هوشمندانه، عجیب و حتی کمی خندهدار هستند؟ در این گزارش، خواهیم دید که چطور یک مسابقه تسلیحاتی هوش مصنوعی در حال تجهیز قهرمانها و تبهکاران است، چرا واتساپ شما میتواند به یک سلاح سایبری تبدیل شود، و چگونه ارواح فناوریهای گذشته – مثل مودمهای Dial-up – برای تسخیر مدرنترین سیستمها بازگشتهاند. پس یک فنجان قهوه برای خودتان بریزید – یا شاید چیزی قویتر – و بیایید ببینیم پشت پردهی دنیای هک و امنیت واقعاً چه خبر است.
۱. هکرها به سراغ هکرها رفتند: وقتی کد منبع F5 به سرقت رفت
تصور کنید سارقان به جای دستبرد زدن به تکتک بانکها، مستقیم به سراغ شرکتی بروند که گاوصندوقها را میسازد و نقشهی تمام قفلها را بدزدند. این دقیقاً همان کاری است که هکرها با حمله به شرکتهای امنیتی انجام می دهند؛ یک سرقت استراتژیک و بینهایت خطرناک.
بر اساس گزارشهای The Hacker News و Unit 42، یک گروه هکری تحت حمایت یک دولت (مرتبط با گروه UNC5221 چین)، موفق شده برای مدتی طولانی به شبکهی داخلی شرکت F5، یکی از غولهای امنیت شبکه، نفوذ کند. این حمله یک نفوذ معمولی نبود. هکرها به جای سرقت اطلاعات مشتریان، به سراغ گنجینهی اصلی شرکت رفتند: کد منبع محصول کلیدی BIG-IP و اطلاعات مربوط به آسیبپذیریهای افشا نشده (Zero-day).
مایکل سیکورسکی از Unit 42 به خوبی عمق فاجعه را توضیح میدهد: «آنها اطلاعات آسیبپذیریهایی را دزدیدند که F5 در حال کار برای رفع آنها بود.» این یعنی هکرها قبل از اینکه حتی وصلههای امنیتی منتشر شوند، فرصت پیدا کردند تا اکسپلویتهای خود را بسازند. این اتفاق فقط یک شروع زودتر نیست؛ بلکه توازن قدرت را اساساً تغییر میدهد. مهاجمان حالا میتوانند از یک منوی کامل از حفرههای افشا نشده، هر کدام را که بخواهند انتخاب و مسلح کنند، در حالی که F5 و مشتریانش مجبور به یک موضع کاملاً تدافعی و واکنشی شدهاند.
نشانهی دیگر این بحران، در حجم افشاسازیهای امنیتی F5 پس از این اتفاق نمایان شد: این شرکت جزئیات ۴۵ آسیبپذیری را در یک فصل منتشر کرد، در حالی که فصل قبل فقط ۶ مورد بود! این یعنی شرکت با تمام توان در حال مسابقه با زمان برای رفع حفرههایی است که هکرها از وجودشان باخبرند. اهمیت ماجرا به حدی بود که CISA (آژانس امنیت سایبری آمریکا) یک دستورالعمل اضطراری صادر کرد.
بذار خلاصه بگم 👇 فکر کن دزدها نقشه کامل سیستم امنیتی همه بانکها رو بدزدن، قبل از اینکه شرکت امنیتی حتی فرصت کنه قفلها رو عوض کنه. این اتفاق برای شرکت F5 افتاد.
در حالی که دولت-ملتها مشغول دزدیدن نقشهی قلعههای اینترنت هستند، جنگ دیگری در جبههای متفاوت در جریان است: درون اپلیکیشنهایی که ما هر روز به آنها اعتماد میکنیم. نفوذ به F5 شکست دفاع محیطی در بالاترین سطح را نشان میدهد؛ داستان بعدی ما نشان میدهد که مهاجمان چطور با استفاده از لیست دوستان شما، به سادگی از در ورودی وارد میشوند.
۲. ویروس جدید Maverick: وقتی واتساپ تبدیل به سلاح میشود
همیشه نگران حملات پیچیدهی دولتی هستیم، اما گاهی خطرناکترین تهدید در قالب یک پیام ساده از طرف دوستی معتمد به دست ما میرسد. مهاجمان به خوبی یاد گرفتهاند که چطور از پلتفرمهای روزمره و مورد اعتماد ما به عنوان سلاح استفاده کنند.
تروجان بانکی جدیدی به نام Maverick دقیقاً همین کار را میکند. طبق گزارشهای SecureList توسط کسپرسکی و TechNadu، این بدافزار مثل یک کرم کامپیوتری رفتار میکند. کافیست یک نفر آلوده شود تا بدافزار به طور خودکار از طریق جلسهی فعال WhatsApp Web او، یک فایل ZIP مخرب را برای تمام مخاطبانش ارسال کند. این یعنی ویروس از طریق حساب کاربری خود شما و با اعتمادی که دوستانتان به شما دارند، پخش میشود.
از نظر فنی هم Maverick بسیار پیشرفته است. این یک حملهی چند مرحلهای و بدون فایل (Fileless) است که باعث میشود شناسایی آن برای آنتیویروسها دشوار باشد. جالب اینجاست که کدهای آن با تروجان دیگری به نام “Coyote” اشتراکاتی دارد. اما غافلگیرکنندهترین بخش گزارش SecureList، کشف استفاده از هوش مصنوعی در فرآیند کدنویسی بدافزار، به ویژه برای رمزگشایی گواهینامهها بود. این یعنی مهاجمان در حال خودکارسازی و هوشمندتر کردن ابزارهایشان هستند.
بذار خلاصه بگم 👇 یه ویروس بانکی جدید مثل شایعه تو واتساپ پخش میشه و از اکانت خودت برای دوستات ارسال میشه. بدتر از اون، انگار خود هکرها دارن از هوش مصنوعی برای کدنویسیش کمک میگیرن.
از هوش مصنوعی در کدنویسی بدافزارها گفتیم، بیایید ببینیم در یک حمله هوشمندانه دیگر، چطور از یک فناوری آیندهنگرانه دیگر یعنی بلاکچین استفاده شده است.
۳. بلاکچین، سرور فرماندهی جدید هکرهای کره شمالی
یکی از بزرگترین چالشهای هکرها این است که سرورهای فرماندهی و کنترل (C2) خود را فعال و آنلاین نگه دارند بدون اینکه توسط نهادهای امنیتی شناسایی و خاموش شوند. اما به نظر میرسد هکرهای کره شمالی یک راهحل هوشمندانه و تقریباً دائمی برای این مشکل پیدا کردهاند.
بر اساس گزارشهای Google Cloud و BleepingComputer، گروه هکری UNC5342 (مرتبط با کره شمالی) از تکنیکی به نام “EtherHiding” استفاده میکند. آنها به جای استفاده از سرورهای سنتی، کدهای مخرب خود را درون قراردادهای هوشمند (Smart Contracts) روی بلاکچینهای عمومی مانند Ethereum و BNB Smart Chain جاسازی میکنند.
چرا این روش اینقدر مؤثر است؟ چون بلاکچین عملاً تبدیل به یک سرور C2 غیرمتمرکز و بسیار مقاوم میشود. هیچ سرور مرکزیای وجود ندارد که پلیس بتواند آن را از کار بیندازد. تا زمانی که بلاکچین فعال باشد، سرور فرماندهی هکرها هم فعال است.
زنجیرهی حمله به این صورت است: قربانی از طریق یک مصاحبهی شغلی جعلی فریب میخورد و یک بدافزار اولیه (لودر) به نام JADESNOW را نصب میکند. این لودر سپس به بلاکچین متصل شده و بدافزار اصلی به نام INVISIBLEFERRET را از آنجا دریافت میکند. نکتهی هوشمندانهی دیگر این است که این ارتباط از طریق فراخوانیهای فقط-خواندنی (read-only calls) انجام میشود که هیچ تراکنشی روی بلاکچین ثبت نمیکند و هزینهای هم ندارد. این یعنی یک ارتباط کاملاً مخفی و رایگان!
بذار خلاصه بگم 👇 هکرهای کره شمالی کدهای مخربشون رو روی بلاکچین ذخیره میکنن. اینجوری سرورهاشون هیچوقت از دسترس خارج نمیشه و کسی نمیتونه خاموشش کنه؛ مثل یه پیامرسان غیرقابل توقف.
هوش مصنوعی به سرعت در حال تبدیل شدن به یک عامل قدرتمند در جنگ سایبری است، اما اولین تأثیر آن در خودکارسازی است.
۴. «لطفاً شبکهی من را اسکن کن»: وقتی هوش مصنوعی دستیار هکرها میشود
در گذشته برای انجام یک حملهی سایبری پیچیده، باید مثل یک سرآشپز ماهر تمام دستور پختها را از حفظ میبودید. امروز اما به لطف هوش مصنوعی، کافیست به یک ربات بگویید چه غذایی میخواهید تا او برایتان آماده کند. هوش مصنوعی در حال پایین آوردن سطح مهارت لازم برای انجام حملات سایبری است.
ابزاری به نام LLM-Tools-Nmap که در مقالهای در Hackers Arise معرفی شده، نمونهی بارز این تحول است. این ابزار به کاربر اجازه میدهد تا با زبان انگلیسی ساده و محاورهای، به ابزار قدرتمند اسکن شبکه یعنی Nmap دستور دهد.
برای مثال، کاربر به جای نوشتن دستورات پیچیدهی Nmap، فقط تایپ میکند: "چه سرویسهایی روی این IP فعال هستند؟" هوش مصنوعی به طور خودکار بهترین دستور Nmap را انتخاب کرده، آن را اجرا میکند، خروجی را تحلیل کرده و در نهایت یک خلاصهی قابل فهم به کاربر ارائه میدهد. این ابزار به نوعی یک دستیار هوشمند برای هکرهاست. البته همانطور که نویسندهی مقاله به درستی اشاره میکند، این ابزار جایگزین تفکر خلاق و انطباقپذیر یک هکر ماهر نمیشود، اما بدون شک فرآیند شناسایی را سادهتر میکند.
بذار خلاصه بگم 👇 ابزارهای جدیدی اومده که به هکرها اجازه میده با انگلیسی ساده دستورات پیچیده شبکه رو اجرا کنن. دیگه لازم نیست متخصص Nmap باشی، فقط کافیه از هوش مصنوعی بخوای برات کار رو انجام بده.
اما برای هر عملی، عکسالعملی برابر و مخالف وجود دارد. در حالی که مهاجمان از هوش مصنوعی برای خودکارسازی شناسایی استفاده میکنند، شرکتهای امنیتی آن را به عنوان یک کمکخلبان هوشمند برای مدافعان به کار گرفتهاند.
۵. هوش مصنوعی در نقش نگهبان: از Burp Suite تا Fortinet
این یک مسابقهی تسلیحاتی هوش مصنوعی است. به ازای هر استفادهی تهاجمی از هوش مصنوعی، شرکتهای امنیتی در حال ساخت یک ابزار دفاعی متقابل هستند.
برای مثال، شرکت PortSwigger، قابلیت Burp AI را برای ابزار محبوب تست نفوذ Burp Suite معرفی کرده است. این هوش مصنوعی میتواند به طور خودکار آسیبپذیریها را بررسی کرده و حتی پیشنهاد اکسپلویت بدهد و مانند یک کمکخلبان برای متخصصان تست نفوذ عمل میکند. در سمت دیگر، شرکت Fortinet ابزار FortiAI را برای تحلیلگران مرکز عملیات امنیت (SOC) عرضه کرده که به آنها کمک میکند با پرسیدن سوالات به زبان طبیعی، هشدارهای امنیتی را سریعتر بررسی کنند. در همین راستا، Kaspersky نیز سیستمعامل امن خود را (که با رویکرد “امن از پایه” ساخته شده) برای تینکلاینتها توسعه داده تا سیستمهایی ذاتاً مقاوم بسازد.
با این حال، وبلاگ SmartTECS نگاهی واقعبینانه به این ابزارها دارد و اشاره میکند که Burp AI با وجود تأثیرگذار بودن، بینقص نیست. این ابزارها بیشتر به عنوان یک «ابزار کمکی» برای جرقه زدن ایدههای جدید در ذهن متخصصان انسانی عمل میکنند تا اینکه جایگزین کامل آنها شوند.
بذار خلاصه بگم 👇 شرکتهای امنیتی هم دارن از هوش مصنوعی برای دفاع استفاده میکنن. این ابزارها مثل یه دستیار هوشمند به تحلیلگرها کمک میکنن تا سریعتر تهدیدها رو پیدا و خنثی کنن.
اما قابلیتهای هوش مصنوعی مولد، جنبههای تاریکتری هم دارد که اعتماد ما به دنیای دیجیتال را زیر سوال میبرد.
۶. دیپفیکها از راه رسیدند: وقتی چشم و گوش دیگر قابل اعتماد نیستند
جملهی «تا با چشم خودم نبینم باور نمیکنم» در دنیای دیجیتال امروز در حال تبدیل شدن به یک مفهوم منسوخ شده است. به لطف فناوری دیپفیک (Deepfake)، دیگر نمیتوان به سادگی به تصاویر، ویدیوها و حتی صداها اعتماد کرد.
بر اساس اطلاعات منتشر شده توسط Unit21 و Thomson Reuters، دیپفیکها با استفاده از مدلی به نام شبکههای مولد تخاصمی (GAN) ساخته میشوند. تصور کنید یک جاعل آثار هنری (Generator) و یک منتقد هنری (Discriminator) در یک اتاق حبس شدهاند. جاعل یک تابلوی پیکاسوی تقلبی میکشد، منتقد تمام ایرادات آن را پیدا میکند و جاعل دوباره آن را اصلاح میکند. بعد از هزاران دور، اثر تقلبی آنقدر بینقص میشود که حتی منتقد هم نمیتواند آن را از اصل تشخیص دهد. دیپفیکها اینگونه متولد میشوند.
یکی از خطرناکترین کاربردهای این فناوری، کلاهبرداری با دیپفیک است. کلاهبرداران میتوانند با استفاده از دیپفیک، سیستمهای امنیتی مدرن مانند تشخیص چهره بیومتریک و حتی تستهای زنده بودن (Liveness Checks) را دور بزنند. یک نمونهی واقعی از این خطر، مدیرعاملی بود که با یک تماس صوتی دیپفیک فریب خورد و بیش از ۲۴۳ هزار دلار به حساب کلاهبرداران واریز کرد. این مشکل دیگر فقط محدود به افراد مشهور نیست. ظهور سرویسهایی مانند Loti AI که خدمات تشخیص و حذف دیپفیک را برای عموم مردم ارائه میدهند، نشان میدهد که این تهدید چقدر فراگیر شده است.
بذار خلاصه بگم 👇 با دیپفیک، کلاهبردارها میتونن ویدیو و صدای جعلی از شما بسازن که حتی سیستمهای تشخیص هویت بیومتریک رو هم گول میزنه. دیگه حتی به تماس ویدیویی هم نمیشه اعتماد کرد.
از تهدیدهای مبتنی بر هوش مصنوعی که بگذریم، به یک تهدید بسیار پیشرفته و مخفی دیگر میرسیم که در اعماق سیستمعاملها فعالیت میکند.
۷. روتکیت LinkPro و «رمز جادویی»: جاسوسی در سطح کرنل لینوکس
روتکیتها (Rootkits) نهایت بدافزارهای مخفیکار هستند. آنها مانند یک جاسوس نامرئی در هستهی اصلی سیستمعامل زندگی میکنند و تمام تلاش خود را میکنند تا دیده نشوند.
یک روتکیت جدید برای لینوکس به نام LinkPro که توسط شرکت Synacktiv تحلیل شده، این مخفیکاری را به سطح جدیدی رسانده است. این بدافزار از فناوری مدرن eBPF استفاده میکند تا فایلها، فرآیندها و ارتباطات شبکهی خود را در سطح کرنل (هستهی سیستمعامل) پنهان کند. چیزی که eBPF را برای یک روتکیت اینقدر قدرتمند میکند این است که در قلب سیستمعامل عمل میکند و میتواند ترافیک شبکه را قبل از اینکه اکثر ابزارهای امنیتی فرصت دیدن آن را داشته باشند، بازرسی و دستکاری کند و به یک شنل نامرئی کامل تبدیل شود.
اما هوشمندانهترین بخش طراحی LinkPro، مکانیزم فعالسازی آن است: «بسته جادویی» (magic packet). این روتکیت در حالت عادی کاملاً غیرفعال به نظر میرسد تا فایروالها به آن مشکوک نشوند. اما به محض اینکه یک بسته TCP خاص با یک مشخصهی منحصربهفرد (مقدار window size برابر با 54321) دریافت کند، از خواب بیدار شده و کانال ارتباطی خود را فعال میکند. این بدافزار همچنین بسیار انطباقپذیر است و اگر نتواند از eBPF استفاده کند، به سراغ تکنیک قدیمیتر ld.so.preload میرود.
بذار خلاصه بگم 👇 یک بدافزار جدید برای لینوکس از تکنولوژیهای سطح پایین سیستمعامل استفاده میکنه تا کاملاً مخفی بشه و فقط با دریافت یک «بسته جادویی» از اینترنت فعال میشه.
از بدافزارهای فنی و پیچیده به دنیای انسانیتر و گاهی آشفتهی مدیریت آسیبپذیریها میرویم.
۸. آسیبپذیری سیسکو: وقتی «بحرانی» واقعاً بحرانی نیست (البته اگر خوششانس باشید)
در دنیای امنیت، برچسب «بحرانی» روی یک آسیبپذیری معمولاً باعث وحشت میشود. اما همیشه اینطور نیست و گاهی اوقات، جزئیات و زمینه (context) همه چیز را تغییر میدهد.
آسیبپذیری جدیدی در پروتکل SNMP تجهیزات سیسکو (CVE-2025-20352) با درجهی «بسیار بحرانی» منتشر شد. اما با نگاهی دقیقتر، متوجه میشویم که برای بهرهبرداری از این حفره، مهاجم باید از قبل به اطلاعات کاربری (credentials) دسترسی داشته باشد و درون یک بخش محافظتشده از شبکه (ACL) قرار گرفته باشد. این یک نمونهی کلاسیک از «بهترین رویه در مقابل واقعیت» است. این آسیبپذیری در یک شبکهی کاملاً پیکربندیشده فقط «متوسط» است، اما مهاجمان در دنیای واقعی زندگی میکنند، جایی که پیکربندیهای نادرست امری عادی است و دقیقاً همان جای پایی را که نیاز دارند، فراهم میکند.
همانطور که کاربران در یک بحث در Reddit اشاره کردهاند، برای یک شبکهی خوشساختار، این آسیبپذیری «در بدترین حالت متوسط» است. اما یک کاربر دیگر به کنایه میگوید: «یک سر به Shodan بزنید تا شگفتزده شوید!» این یعنی بسیاری از شبکهها در دنیای واقعی به درستی پیکربندی نشدهاند. گزارش The Hacker News نشان میدهد که این آسیبپذیری در حملاتی به نام “Operation Zero Disco” برای نصب روتکیتهای لینوکسی استفاده شده است که ثابت میکند خطر کاملاً واقعی است. علاوهبراین، آشفتگی در ارائهی وصلههای امنیتی (نسخههایی که پس گرفته شدند یا در دسترس نبودند) لایهی دیگری از مشکلات دنیای واقعی را به این ماجرا اضافه کرد.
بذار خلاصه بگم 👇 یه آسیبپذیری «بحرانی» تو تجهیزات سیسکو پیدا شده، اما اگه شبکهتون رو درست تنظیم کرده باشید، خطرش اونقدرها هم زیاد نیست. مشکل اینجاست که خیلیها تنظیمات درست رو انجام نمیدن.
برخلاف آسیبپذیری سیسکو که نیازمند پیششرطهای زیادی بود، گاهی یک اشتباه ساده میتواند به یک فاجعهی تمامعیار منجر شود.
۹. آسیبپذیری «بینقص» Adobe: وقتی یک اشتباه کوچک فاجعه میآفریند
گاهی اوقات مخربترین آسیبپذیریها نه از یک طراحی پیچیده، بلکه از یک اشتباه ساده و نادیده گرفته شده ناشی میشوند.
شرکت Adobe یک آسیبپذیری در محصول Adobe Experience Manager (AEM) خود (CVE-2025-54253) داشت که یک امتیاز CVSS کامل ۱۰.۰ از ۱۰ را دریافت کرد. این یعنی نهایت خطر! اما دلیل این آسیبپذیری چه بود؟ یک اشتباه پیکربندی ساده: فعال گذاشتن حالت توسعهدهنده یا “devMode” در محیط عملیاتی (Production). این مثل آن است که کلید اصلی یک قلعهی نفوذناپذیر را در قفل در ورودی جا بگذارید. این اشتباهی در حد و اندازهی فیلمهای کمدی بود، با این تفاوت که هیچکس نمیخندید.
این اشتباه کوچک منجر به دور زدن کامل احراز هویت و اجرای کد از راه دور بدون نیاز به هیچگونه دسترسی قبلی شد. طبق گزارش Help Net Security و The Hacker News، انتشار یک اکسپلویت عمومی (Proof-of-Concept) اوضاع را بدتر کرد و باعث شد CISA این آسیبپذیری را به دلیل بهرهبرداری فعال در حملات، به کاتالوگ آسیبپذیریهای شناختهشده خود (KEV) اضافه کند.
بذار خلاصه بگم 👇 شرکت Adobe به خاطر فعال گذاشتن یک حالت تست (devMode) روی محصولش، یک آسیبپذیری با امتیاز کامل ۱۰ از ۱۰ ایجاد کرد. این اشتباه ساده به هکرها اجازه داد کنترل کامل سیستمها رو به دست بگیرن.
و گاهی هم مشکلات امنیتی از غیرمنتظرهترین و قدیمیترین جاها سر در میآورند.
۱۰. ارواح گذشته: وقتی درایور فکس و مودم Dial-up در ویندوز مدرن، زیرو-دی میشود
گاهی اوقات کدهای قدیمی و فراموششده مثل ارواح از گذشته برمیگردند و سیستمهای مدرن ما را تسخیر میکنند. این دقیقاً اتفاقی بود که در آپدیت ماه اکتبر مایکروسافت (بزرگترین Patch Tuesday تاریخ) رخ داد.
بر اساس گزارشهای Help Net Security و Tenable، یکی از خطرناکترین آسیبپذیریهای این ماه که به طور فعال توسط هکرها مورد بهرهبرداری قرار گرفته بود، CVE-2025-24990 بود؛ یک زیرو-دی (Zero-day) واقعی. اما منشأ این حفره امنیتی همه را شگفتزده کرد: یک درایور شخص ثالث به نام ltmdm64.sys که مربوط به مودم Agere بود؛ وسیلهای که برای اینترنت دایال-آپ و ارسال فکس استفاده میشد! بله، درست خواندید. درایوری برای تکنولوژیای که فکر میکردیم همراه با دایناسورها منقرض شده، به یک تهدید امنیتی فوری در سال ۲۰۲۵ تبدیل شد.
راهحل مایکروسافت هم به اندازهی خود مشکل عجیب بود. آنها به جای وصله کردن درایور، آن را با یک آپدیت به طور کامل از ویندوز حذف کردند. این کار البته باعث شد سختافزار فکس و مودم برای کسانی که هنوز از آن استفاده میکردند، از کار بیفتد.
بذار خلاصه بگم 👇 یکی از خطرناکترین حفرههای امنیتی ماه اخیر مایکروسافت، مربوط به درایور مودم Dial-up و فکس بود که از قدیم در ویندوز مونده بود! راهحل مایکروسافت هم حذف کامل این درایور بود.
و در آخر…
نخ تسبیح تمام این داستانها فقط فناوری نیست؛ بلکه «اعتماد» است. ما به شرکتهای امنیتیمان اعتماد میکنیم، به اپلیکیشنهای پیامرسانمان، به چشمها و گوشهای خودمان. سال ۲۰۲۵ یک کلاس درس پیشرفته بود که نشان داد چگونه هر یک از این اعتمادها میتوانند به طور سیستماتیک شکسته شوند. چالش واقعی پیش رو فقط وصله کردن کدهای قدیمی یا ساختن هوش مصنوعی جدید نیست؛ بلکه طراحی مجدد دنیایی دیجیتال است که در آن، اعتماد دیگر یک پیشفرض نیست.
“Clarity builds trust. Let’s make complexity simple — together.” — ClaritySec