خوب، بد، زشت: مرور سال ۲۰۲۵ در دنیای سایبری!

بهترین‌ها

سال ۲۰۲۵، سال پیروزی‌های چشمگیر نهادهای مجری قانون در سطح جهانی بود، که قدرت هماهنگی فرامرزی را نشان داد. از بازداشت‌های پر سر و صدا تا مصادره بزرگ دارایی‌ها، مقامات به تدریج زیرساخت‌های پشتیبانی‌کننده از بازیگران سایبری مجرمانه و دولتی را منهدم کردند.

در دو هفته اخیر، Eurojust اقدام به تعطیلی مرکز تماس اوکراینی کرد که اروپایی‌ها را فریب می‌داد و حدود ۱۰ میلیون یورو جمع‌آوری کرده بود و همچنین سرورهای صرافی رمزارزی E-Note که ۷۰ میلیون دلار از طریق باج‌افزار و سوءاستفاده از حساب‌ها پول‌شویی می‌کردند، مصادره شد. دستگیری ویکتوریا دوبرانوا از اوکراین به دلیل همکاری با هکتیویست‌های حمایت‌شده توسط روسیه و بازداشت یک نوجوان ۱۹ ساله در اسپانیا که ۶۴ میلیون رکورد دزدیده شده را می‌فروخت، نشان‌دهنده تلاش‌های بین‌المللی برای پاسخگو کردن مجرمان سایبری است.

اختلالات عمده زیرساختی نیز موفقیت‌ها را تقویت می‌کنند. محکومیت مجرمان سایبری، از جمله هکر وای‌فای «دوقلوی شرور» و مصادره Cryptomixer با ۱.۳ میلیارد یورو پول‌شویی شده از سال ۲۰۱۶، نمونه‌ای از مقابله با کلاهبرداری‌های گسترده است. گروه‌های اجرای قانون با ترکیب اقدامات قانونی، تحریم‌ها و اختلال عملیاتی، مجرمان مرتبط با روسیه و کره شمالی را هدف قرار دادند و ارائه خدمات میزبانی مقاوم در برابر تحریم را محدود کردند.

همکاری بین‌المللی در سال ۲۰۲۵ نیز کلیدی بود. عملیات‌های گسترده اینترپل در آفریقا، از جمله Operation Serengeti 2.0 و Operation Red Card، منجر به بازداشت هزاران مظنون و مصادره ده‌ها میلیون دارایی شد. یوروپل شبکه جهانی SIMCARTEL را متلاشی کرد و سرورها، سیم‌کارت‌ها، رمزارزها و خودروهای لوکس را مصادره نمود. در کنار آن، اقدامات هماهنگ علیه گروه‌های باج‌افزاری Diskstation و زیرساخت‌های هکتیویست‌ها انجام شد. عملیات‌های وزارت دادگستری و CISA نیز طرح‌های ارزشمند از جمله کلاهبرداری ۱۵ میلیارد دلاری Prince Group و شبکه‌های باج‌افزار متعدد را مختل کرد و ابزارهای رمزگشایی برای قربانیان Phobos و 8Base ارائه شد.

در زمینه نوآوری سایبری، CISA با راه‌اندازی Thorium، پلتفرم متن‌باز خودکار برای تحقیقات دیجیتال، و سیستم‌های تشخیص تهدید مبتنی بر هوش مصنوعی، امکان واکنش سریع‌تر به حوادث را فراهم کرد.

بدترین‌ها

جرایم حمایت‌شده توسط دولتها، سوءاستفاده از زنجیره تأمین و انواع بدافزار نوظهور، مدافعان را به چالش کشیدند.

هکرهای مرتبط با کره شمالی بیش از ۲ میلیارد دلار رمزارز در سال ۲۰۲۵ سرقت کردند و کمپین‌های جاسوسی مانند Operation Contagious Interview را علیه کارمندان دورکار اجرا کردند. همچنین کمپین‌های مرتبط با ایران (UNK_SmudgedSerpent) و چین (TA415) با فیشینگ و ابزارهای توسعه‌دهنده، اهداف ارزشمند از جمله شبکه‌های سازمانی و کارشناسان سیاستگذاری را هدف گرفتند.

پلتفرم‌های توسعه‌دهنده، اکوسیستم متن‌باز و قراردادهای هوشمند به اهداف اصلی تهدیدات تبدیل شدند. افزونه‌های VS Code مانند Bitcoin Black و Codo AI اطلاعات کیف پول رمزارزی را سرقت کردند و بسته‌های NPM مثل XORIndex و os-info-checker-es6 بارهای چندمرحله‌ای را منتقل کردند. خانواده‌های بدافزار جدیدی مانند SleepyDuck RAT و Betruger به شکل افزونه‌های محبوب ظاهر شده و از کمپین‌های باج‌افزاری پشتیبانی کردند. حتی حملات مبتنی بر هوش مصنوعی مانند AkiraBot و Gamma AI، فیشینگ و مهندسی اجتماعی را دور زدند و SMBها و سازمان‌های بزرگ را هدف قرار دادند.

پیامدهای مالی و عملیاتی نیز شدید بود: کلاهبرداری بانکی ۲۶۲ میلیون دلار از طریق سوءاستفاده از MFA و فیشینگ به‌دست آورد. ربات‌های تجاری YouTube، سرقت هویت ابری و باج‌افزارهای چندمرحله‌ای مثل EncryptHub و Katz Stealer میلیون‌ها دلار از سازمان‌ها و افراد برداشتند.

تهدیدگران وابسته به دولت ها همزمان جاسوسی و جرایم مالی را دنبال کردند. طرح‌های شغلی جعلی و جذب استعداد AI/کریپتو برای استقرار بدافزار هدفمند استفاده شد و APTهایی مانند UNC3886 دروازه‌های پشتی مخفی به شبکه‌های سازمانی و دیپلماتیک نصب کردند.

زشت‌ترین‌ها

بًعد تاریک سال ۲۰۲۵ شامل حملات با کمک AI، اکسپلویت روز-صفر و صنعتی‌شدن باج‌افزارها بود. عملیات باج‌افزاری بزرگ مانند CyberVolk با VolkLocker مبتنی بر AI، مذاکره، فیشینگ و حملات چندزبانه را خودکار کردند و از تلگرام برای هماهنگی استفاده کردند. AI همچنین توانایی تیم‌های کوچک باج‌افزار را افزایش داد و سرعت هدف‌گیری و اجرای payload را بالا برد.

آسیب‌پذیری‌های روز-صفر در زیرساخت‌ها و نرم‌افزارهای سازمانی اکسپلویت شدند. React2Shell در React/Next.js، Triofox CVE-2025-12480)، Oracle E-Business Suite (CVE-2025-61884) و ToolShell در SharePoint اجازه کامل به نفوذ سیستم دادند. سرویس‌های ابری و AI نیز در معرض حمله بودند؛ EchoLeak و Google Gemini LLM به استخراج داده بدون تعامل کاربر کمک کردند.

جاسوسی سایبری در سال ۲۰۲۵ با تهدیدات فیزیکی و ژئوپلیتیکی درهم آمیخت. Crimson Sandstorm با حمایت ایران، از شناسایی سایبری برای پشتیبانی از حملات موشکی استفاده کرد و بازیگران چینی و کره شمالی به عملیات کمک‌رسانی، NGOها و زیرساخت‌های دولتی حمله کردند. بدافزارهای با اقامت طولانی مانند BRICKSTORM و بهره‌برداری از پروتکل‌های سطح شبکه، اثرات گسترده‌ای روی شبکه‌ها ایجاد کردند.

ریسک‌ها توسط عوامل ثالث نیز تقویت شد: نقض داده‌های Discord، Mixpanel و GitHub Actions، اطلاعات و دسترسی‌های بسیاری را در معرض سرقت قرار دادند که به حملات باج‌افزار، فیشینگ و جاسوسی منجر شد. ترکیب AI، اتوماسیون و آسیب‌پذیری‌های پراثر، نمونه‌ای از صنعت جرم سایبری است که در آن بازیگران فرصت‌طلب و وابسته به دولت، عملیات‌های خود را با سرعت و پیچیدگی بی‌سابقه اجرا می‌کنند.

نتیجه‌گیری

با پایان سال ۲۰۲۵، یک نکته روشن است: امنیت سایبری بیش از پیش به هم‌پیچیدگی، مسئولیت جمعی و همکاری متقابل وابسته شده است. از ضعف زنجیره تأمین تا نفوذ مبتنی بر هویت و همگرایی جرم سایبری و ژئوپلیتیک، چالش‌های پیش رو نیازمند همکاری عمیق‌تر، پاسخگویی بیشتر و رویکردی آگاهانه به اعتماد در اکوسیستم دیجیتال هستند.

منابع: