۵ تهدیدی که امنیت سایبری در سال ۲۰۲۵ را تعریف کردند!

سال ۲۰۲۵ شاهد مجموعه‌ای از تهدیدات بزرگ و تعیین‌کننده در حوزه امنیت سایبری در سال ۲۰۲۵ بود؛ از حملات گسترده و دولتی مانند Salt Typhoon گرفته تا آسیب‌پذیری‌های بسیار خطرناکی مانند React2Shell که یادآور رخدادهای تاریخی گذشته بودند.

سال ۲۰۲۵ یک سال شلوغ دیگر برای امنیت سایبری بود؛ سالی مملو از حملات بزرگ، تحولات دولتی، و نقص‌های امنیتی خطرناکی که پژواک تهدیدات قدیمی را با خود داشتند.

رویدادهایی که این سال را تعریف کردند، اگرچه پراکنده در طول سال اتفاق افتادند، اما همگی تأثیرگذار بودند. در ابتدای سال ۲۰۲۵، شاهد ادامه حملات گروه APT چینی Salt Typhoon علیه شرکت‌های مخابراتی بودیم؛ حملاتی که بخشی از عملیات جاسوسی این گروه محسوب می‌شد. در تابستان و پاییز، آژانس امنیت سایبری و زیرساخت آمریکا (CISA) با کاهش بودجه و تعدیل نیرو مواجه شد؛ پیامدی از سیاست‌های دولت ترامپ برای کوچک‌سازی دولت فدرال. و در نهایت، تنها در ماه گذشته، آسیب‌پذیری بسیار بحرانی React2Shell با امتیاز CVSS برابر با ۱۰ افشا شد؛ نقصی که شباهت زیادی به Log4Shell بدنام داشت.

البته باید اشاره کرد که همه اتفاقات منفی نبودند. برخی شاخص‌های کلیدی باج‌افزار (مانند نرخ پرداخت باج) بهبود پیدا کردند و عملیات‌های مشترک بین‌المللی علیه گروه‌های جرایم سایبری به‌طور منظم ادامه داشت.

در مجموع، سال ۲۰۲۵ برای جرایم سایبری و امنیت اطلاعات سالی پویا و چندوجهی بود؛ از یک سو یادآور تهدیدات قدیمی و از سوی دیگر، منحصربه‌فرد در نوع خود. در ادامه، به پنج تهدیدی می‌پردازیم که امنیت سایبری در سال ۲۰۲۵ را شکل دادند.

۱. ادامه یورش‌های گسترده Salt Typhoon

Salt Typhoon یک بازیگر تهدید دولتی وابسته به چین است که بیش از همه به دلیل حمله به غول‌های مخابراتی مانند Verizon، AT&T، Lumen Technologies و دیگر شرکت‌ها شناخته می‌شود. این حملات که نخستین‌بار در پاییز گذشته افشا شدند، سامانه‌هایی را هدف قرار دادند که توسط پلیس برای شنود قانونی مکالمات استفاده می‌شدند.

این گروه که با نام Operator Panda نیز شناخته می‌شود، از تکنیک‌های پیشرفته برای جاسوسی سایبری استفاده کرده و خود را برای حملات بلندمدت در شبکه‌ها مستقر می‌کند.

فعالیت‌های Salt Typhoon در سال ۲۰۲۵ نه‌تنها متوقف نشد، بلکه در مقیاس وسیع‌تری ادامه یافت. در ماه جولای مشخص شد که این گروه به مدت نزدیک به یک سال شبکه‌های گارد ملی آمریکا را نفوذ کرده است. شرکت‌های مخابراتی دیگری مانند Viasat نیز نفوذهایی را تأیید کردند که به Salt Typhoon نسبت داده می‌شود؛ و این‌ها تنها بخش کوچکی از ماجراست.

آدام مایرز، مدیر عملیات مقابله با تهدیدات در CrowdStrike، می‌گوید Operator Panda نمونه‌ای از بازیگران وابسته به چین است که به «اپراتورهایی بسیار هماهنگ، چنددامنه‌ای و متمرکز بر ماندگاری بلندمدت» تبدیل شده‌اند.

به گفته او، این گروه‌ها به‌شدت به آسیب‌پذیری‌های تجهیزات متصل به اینترنت مانند روترها، تجهیزات امنیتی، VPNها و سایر سیستم‌های لایه شبکه متکی هستند؛ تجهیزاتی که اغلب فاقد EDR مدرن بوده و معمولاً با تأخیر پچ می‌شوند.
بدون دید یکپارچه و شکار تهدید فعال، سازمان‌ها به‌راحتی از چنین مهاجمانی عقب می‌مانند.

۲. تعدیل نیرو و کاهش بودجه در CISA؛ تهدیدی از جنس سیاست

کاهش نیرو در CISA نوعی تهدید متفاوت را رقم زد.

در ابتدای سال، دولت ترامپ تمام اعضای کمیته‌های مشورتی Cyber Safety Review Board (CSRB) را برکنار کرد؛ نهادی متشکل از کارشناسان دولتی و خصوصی که وظیفه بررسی رخدادهای بزرگ امنیتی را داشت. این کمیته در زمان تعطیلی، مشغول بررسی حملات Salt Typhoon بود.

این اقدام تنها آغاز ماجرا بود. در ادامه سال، CISA با موجی از کاهش بودجه و تعدیل نیرو مواجه شد؛ بخشی در راستای سیاست‌های کوچک‌سازی دولت و بخشی دیگر در نتیجه اظهارات وزیر امنیت داخلی، کریستی نوم، که CISA را به دور شدن از مأموریت اصلی خود متهم کرده بود.

CISA خدمات حیاتی متعددی ارائه می‌دهد؛ از راهنمایی‌های مربوط به آسیب‌پذیری‌ها و ارزیابی‌های امنیتی فیزیکی و سایبری گرفته تا امنیت انتخابات و پشتیبانی پاسخ به رخداد.

جان بمبنک، رئیس Bambenek Consulting، می‌گوید بیشترین اثر این کاهش‌ها در سطح دولت‌های محلی و سازمان‌هایی احساس شده که توان خرید سرویس‌های تجاری Threat Intelligence را ندارند. به گفته او، انتقال ناگهانی بار امنیت سایبری به شهرها و سازمان‌های کوچک، آن‌ها را در برابر جاسوسی دولت‌-ملت‌ها عملاً بی‌دفاع می‌گذارد.

۳. React2Shell؛ پژواک خطرناک Log4Shell

React2Shell با شناسه CVE-2025-55182، یک آسیب‌پذیری بحرانی در پروتکل متن‌باز React Server Components (RSC) است که در اوایل این ماه افشا شد. این نقص ناشی از deserialization ناامن بوده و به دلیل قابلیت اکسپلویت آسان و اثرگذاری بالا، امتیاز حداکثری CVSS 10 را دریافت کرد.

با توجه به فراگیری React، در زمان افشا تصور می‌شد حدود یک‌سوم ارائه‌دهندگان سرویس‌های ابری در معرض این آسیب‌پذیری هستند. نام React2Shell نیز عمداً به Log4Shell اشاره دارد؛ نقصی تاریخی که در سال ۲۰۲۱ اکوسیستم نرم‌افزار را لرزاند.

تنها چند ساعت پس از افشا، اکسپلویت آغاز شد و PoCهای متعددی در فضای عمومی منتشر شدند. بازیگران دولتی جزو اولین مهاجمان بودند و به‌سرعت دامنه مهاجمان گسترش یافت.

استیون فِوِر، پژوهشگر ارشد Rapid7، می‌گوید جذابیت React2Shell برای مهاجمان به دلیل فراگیری React و فریم‌ورک‌های پایین‌دستی مانند Next.js است.
به گفته او، بیش از ۵۰۰ هزار دامنه آسیب‌پذیر به‌صورت عمومی گزارش شده‌اند؛ عددی که تنها بخش قابل مشاهده اینترنت را نشان می‌دهد و وضعیت شبکه‌های داخلی هنوز به‌طور کامل مشخص نیست.

۴. Shai-Hulud و انفجار بدافزارهای خودتکثیرشونده متن‌باز

در ماه سپتامبر، بدافزار خودتکثیرشونده‌ای به نام Shai-Hulud شناسایی شد؛ یک infostealer که اجزای نرم‌افزارهای متن‌باز را آلوده می‌کند. زمانی که توسعه‌دهنده‌ای یک پکیج آلوده را دانلود می‌کند، Shai-Hulud سایر پکیج‌های نگهداری‌شده توسط او را نیز آلوده کرده و نسخه‌های آلوده را منتشر می‌کند؛ آن هم به‌صورت خودکار.

جاستین مور از Unit 42 می‌گوید خطر اصلی Shai-Hulud این است که از اتوماسیون خود مدافعان علیه آن‌ها استفاده می‌کند. هر پکیج نرم‌افزاری، زنجیره‌ای از ده‌ها وابستگی دیگر را با خود به همراه دارد و این حملات دقیقاً همین اعتماد را هدف می‌گیرند.

نتیجه، یک سطح حمله عظیم و چندلایه است که می‌تواند با یک نفوذ عمیق، هزاران شرکت را هم‌زمان تحت تأثیر قرار دهد. گسترش سریع این حملات آن‌قدر جدی بود که GitHub مجبور شد مداخله کرده و وعده محدودسازی چنین تهدیداتی را بدهد.

۵. کمپین‌های تهدید علیه مشتریان Salesforce

در ابتدای سال، یک بازیگر تهدید با نفوذ به حساب GitHub شرکت Salesloft، توکن‌های OAuth مرتبط با یکپارچه‌سازی Salesforce را سرقت کرد. این رخداد منجر به حملات زنجیره‌ای علیه صدها نمونه Salesforce شد.

شرکت‌هایی مانند Zscaler، Palo Alto Networks، Proofpoint، Cloudflare و Tenable در دامنه تأثیر این کمپین قرار گرفتند. هرچند این حادثه ماه‌هاست مهار شده، اما همچنان به‌عنوان یکی از برجسته‌ترین حملات زنجیره تأمین سال ۲۰۲۵ در ذهن‌ها باقی مانده است.

به گفته جیمی بلاسکو، CTO شرکت Nudge Security، Salesforce هدفی جذاب است زیرا داده‌های بسیار ارزشمند تجاری و اعتبارنامه‌ها در آن ذخیره می‌شوند.
او تأکید می‌کند که این حملات بخشی از روندی بزرگ‌تر هستند: سوءاستفاده مهاجمان از اکوسیستم SaaS و یکپارچه‌سازی‌هایی که اغلب از دید کنترل‌های امنیتی سنتی پنهان می‌مانند.

منابع: