نخستین بولتن ThreatsDay در سال 2026 در شرایطی منتشر میشود که تهدیدات سایبری نه تنها متوقف نشدهاند، بلکه هوشمندتر، نامحسوستر و هدفمندتر شدهاند. تجربه سال گذشته حاکی از آن است که مهاجمان سایبری تعطیلات، آغاز سال نو و مرزهای سنتی امنیتی را نادیده گرفته و با سرعت بیشتری فعالیتهای خود را ادامه دادهاند. خلاصه تهدیدات این هفته نشان میدهد که مهاجمان با تغییرات ظریف در روشهای خود، از اصلاحات نرمافزاری گرفته تا کلاهبرداریهای مرتبط با شغل، شکل واقعی جرایم سایبری را دگرگون کردهاند. در چشمانداز امنیت سایبری، شرکتهای بزرگ تحت آزمایش قرار دارند، تهدیدات شناختهشده در حال تکاملاند و وقایع کوچک بهطور پنهانی نشانههایی از الگوهای بزرگتر آینده ارائه میکنند. روند کنونی دیگر حول یک نفوذ بزرگ نمیچرخد؛ بلکه حول تعداد زیادی نقاط آسیبپذیر کوچک است که مهاجمان با دقت آنها را مورد هدف قرار میدهند. سرعت سوءاستفاده، فریب و نفوذ مداوم تهدیدات کاهش نیافته است؛ بلکه حسابشده و دقیقتر ادامه دارد. هر بخش از این بولتن نشان میدهد که مرز میان فعالیتهای عادی و نفوذ مخرب هر هفته باریکتر میشود.
آنچه در این بولتن ارائه میشود، مجموعهای از حملات بزرگ و کوچک است که در کنار هم تصویری روشن از تغییر الگوی جرایم سایبری ترسیم میکنند: حملاتی بدون جنجال، اما با اثرگذاری بالا.
تحویل مظنون لیتوانیایی به کره جنوبی به اتهام توزیع بدافزار
یک شهروند لیتوانیایی به اتهام آلودهسازی 2.8 میلیون سیستم با بدافزار سرقتکننده کلیپبورد در قالب ابزار KMSAuto برای فعالسازی غیرقانونی Windows و Office دستگیر و از گرجستان به کره جنوبی منتقل شده است.
مقامات کره جنوبی اعلام کردند این بدافزار بین سالهای 2020 تا 2023 منتشر شده و منجر به سرقت داراییهای دیجیتال به ارزش حدود 1.2 میلیون دلار از بیش از 3,100 آدرس رمزارزی شده است.
موج بهرهبرداری ColdFusion در تعطیلات
یک کمپین بهرهبرداری هماهنگ در تعطیلات کریسمس 2025 سرورهای Adobe ColdFusion را هدف قرار داد.
طبق گزارش GreyNoise، حدود 98 درصد ترافیک حمله از زیرساختی مستقر در ژاپن انجام شده و بیش از 10 آسیبپذیری از سالهای 2023 و 2024 مورد سوءاستفاده قرار گرفتهاند.
برخی از این حملات امکان اجرای کد از راه دور، سرقت اعتبارنامهها و انجام JNDI Lookup را فراهم میکردند.
بدافزار پیشنصبشده روی تبلتهای اندرویدی
کسپرسکی از کشف بدافزاری به نام Keenadu خبر داده که بهصورت پیشفرض روی برخی تبلتهای اندرویدی نصب شده است. این بکدور در فایل سیستمی libandroid_runtime.so قرار دارد و میتواند دسترسی از راه دور و استخراج داده را ممکن کند.
تعطیلی مرکز Jailbreak هوش مصنوعی
Reddit انجمن r/ChatGPTJailbreak با بیش از 229 هزار کاربر را به دلیل نقض قوانین مسدود کرد. این انجمن به مکانی برای دور زدن فیلترهای ایمنی مدلهای زبانی تبدیل شده بود و حتی در آن دستورالعملهایی برای تولید دیپفیکهای غیراخلاقی منتشر میشد.
مطالعهای جدید نشان میدهد استفاده از پرامپتهای شاعرانه نرخ موفقیت حملات Jailbreak را تا 5 برابر افزایش میدهد.
بازگشت کمپین GlassWorm با تمرکز بر macOS
کمپین زنجیره تأمین GlassWorm با افزونههایی در Open VSX بازگشته است و بهطور خاص کاربران macOS را هدف قرار میدهد. هدف اصلی، سرقت داراییهای کیفپولهای رمزارزی و اطلاعات حساس توسعهدهندگان است.
افشای Playbook متا برای پنهانسازی تبلیغات کلاهبرداری
گزارش Reuters نشان میدهد Meta با دستکاری نتایج Ad Library تلاش کرده تصویر پاکتر و فیلترشدهتری به نهادهای نظارتی نمایش دهد تا از افزایش فشارهای قانونی جلوگیری کند.
سوءاستفاده از قرارداد هوشمند Unleash و سرقت 3.9 میلیون دلار رمزارز
طبق اعلام پلتفرم غیرمتمرکز Unleash Protocol، در پی یک ارتقای غیرمجاز قرارداد هوشمند حدود 3.9 میلیون دلار دارایی کاربران به سرقت رفته است. مهاجم با سوءاستفاده از حاکمیت چندامضایی کنترل مدیریتی را به دست گرفته و وجوه سرقتشده را به Tornado Cash منتقل کرده است.
جریمه 10 میلیون دلاری Disney به دلیل نقض حریم خصوصی کودکان
وزارت دادگستری آمریکا اعلام کرد شرکت Disney برای مختومه شدن پرونده کمیسیون تجارت فدرال (FTC) با پرداخت 10 میلیون دلار جریمه موافقت کرده است. این پرونده به اتهام برچسبگذاری نادرست محتوای کودکمحور در YouTube و نمایش تبلیغات هدفمند به کودکان تشکیل شده بود.
ErrTraffic حملات ClickFix را خودکار میکند
ابزار جدیدی به نام ErrTraffic به مهاجمان اجازه میدهد با نمایش باگهای جعلی مرورگر، کاربران را فریب داده و بدافزار توزیع کنند. این ابزار از طریق تزریق HTML روی سایتهای آلوده، حملات ClickFix را در ویندوز، macOS، لینوکس و اندروید اجرا میکند.
تکامل Magecart به سرقت هویت
کمپین جدید Magecart علاوه بر سرقت اطلاعات پرداخت، به سمت تصاحب حسابها و دسترسی مدیریتی دائمی حرکت کرده است.
هکتیویسم نیابتی و انکارپذیری سیاسی
گزارش CYFIRMA توضیح میدهد که چگونه گروههای هکتیویستی، بدون وابستگی رسمی به دولتها، در راستای اهداف ژئوپلیتیکی آنها عمل میکنند و همزمان امکان حفظ انکارپذیری رسمی را برای دولتها فراهم میسازند.
OceanLotus با هدف سیستمهای داخلی چین
گروه OceanLotus (APT32) پلتفرمهای نوآوری داخلی چین (Xinchuang) و سیستمهای Windows را با حملات فیشینگ هدف قرار داده است.
این حملات با فایلهای Desktop، PDF و JAR انجام شده و از آسیبپذیری CVE-2023-52076 در Atril Document Viewer برای اجرای یک دانلودکننده Python سوءاستفاده میکند.
بدافزار ELF اصلاحشده فقط روی سیستمهای بومی چین اجرا شده و بهدلیل تغییر در Magic Number، روی لینوکسهای سنتی اجرا نمیشود؛ موضوعی که نشاندهنده شناخت عمیق OceanLotus از زیرساختهای داخلی است. این کمپین همچنین شامل بکدورهای منفعل روی دستگاههای IoT مانند روترها است.
سوءاستفاده از تأخیر حذف کلیدهای AWS
یک پنجره زمانی چندثانیهای در AWS IAM به مهاجمان اجازه میدهد حتی پس از حذف کلیدها، دسترسی خود را حفظ کنند.
ظهور باتنت پروکسی IPCola
شبکه پروکسی IPCola مدعی ارائه بیش از 1.6 میلیون IP در بیش از 100 کشور است و از SDKهایی استفاده میکند که امکان اجرای کد از راه دور(RCE) را فراهم میکنند.
GhostAd و SkyWalk ؛ تبلیغات مخرب در Android و iOS
کمپین GhostAd منابع دستگاههای اندرویدی را بیصدا مصرف میکند و SkyWalk نیز با اپهای iOS، تبلیغات نامرئی نمایش میدهد.
نفوذ نیروی IT کره شمالی به شرکتها
Amazon اعلام کرده از آوریل 2024 تاکنون بیش از 1,800 تلاش نفوذ مرتبط با کارگران IT کره شمالی را شناسایی و متوقف کرده است. این افراد با جعل هویت، تلاش میکنند به شرکتهای فناوری و Web3 نفوذ کرده و به کد منبع و زیرساختها دسترسی پیدا کنند.
جمعبندی
سال 2026 با سکوت فریبنده شروع شده است؛ نه بهدلیل کاهش حملات، بلکه چون تهدیدها هوشمندتر، دقیقتر و نامرئیتر شدهاند. حملات امروز دیده نمیشوند، در زیرساختها جا میگیرند و زمانی خود را نشان میدهند که کار از کار گذشته است.
