بوت نت TuxBot v3: مساعدة الذكاء الاصطناعي تولد ثغرات مكلفة

كشف تقرير عن TuxBot v3، شبكة بوت نت للأجهزة الذكية طُوِّرَت بمساعدة نموذج لغوي كبير، رغم احتواء الكود على إخفاقات برمجية واضحة تشير إلى تدخل الذكاء الاصطناعي.
مقدمة تحليلية
في 17 يوليو 2026، كشفت أبحاث Palo Alto Networks Unit 42 عن تفاصيل TuxBot v3 Evolution، إطار عمل بوت نت جديد يستهدف أجهزة إنترنت الأشياء (IoT). اللافت في هذا الكشف هو وجود علامات قوية على أن تطوير البرمجية الخبيثة تم بمساعدة نموذج لغوي كبير (LLM)، رغم النتائج الأولية التي لم تكن مثالية. أكدت Unit 42 أن "الذكاء الاصطناعي امتثل لطلب المطور بإنشاء كود البوت نت، لكنه أدرج إخلاء مسؤولية أمنياً فشل المطور في إزالته قبل النشر". بالإضافة إلى ذلك، فشلت عدة وظائف في العينات التي خضعت للتحليل. رُفِعَت عينة واحدة على الأقل من هذه البرمجية الخبيثة إلى منصة VirusTotal في 20 يناير 2026، ما يشير إلى نشاطها الفعلي لأكثر من ستة أشهر. تشير الأدلة إلى أن العمل على البوت نت بدأ قبل عام من ذلك، عندما استنسخ المؤلف مستودع MHDDoS من GitHub.
التحليل التقني
يتألف إطار عمل TuxBot v3 Evolution من عدة مكونات رئيسية، مصممة لتوفير قدرات هجومية واسعة النطاق. تشمل هذه المكونات ما يلي:
- وكيل بوت (bot agent) مبني بلغة C، يدعم الترجمة المتقاطعة لعدة معماريات، بما في ذلك ARM وMIPS وMIPSEL وMIPS64 وx86_64 وPowerPC وRISC-V، لضمان أقصى توافق مع الأجهزة المستهدفة.
- خادم قيادة وتحكم (C2) مبني بلغة Go، مزود بلوحة تحكم لخدمات هجمات حرمان الخدمة الموزعة (DDoS-for-hire).
- آلة افتراضية مخصصة للاستغلال (exploit virtual machine).
- بنية تحتية للاختبار مبنية على Docker.
- نظام بناء آلي.
صُمِّم وكيل البوت لمهاجمة أجهزة IoT عبر هجمات التخمين (brute-force) على منافذ Telnet، مستخدماً مجموعة من 1,496 زوجاً من بيانات الاعتماد المعروفة. كما يدمج الكود الخاص بالاستغلال الذي يستهدف أكثر من 30 عائلة من أجهزة IoT بالاعتماد على ثغرات معروفة. يتواصل الوكيل مع خادم C2 عبر قناة TCP مشفرة. يعتمد TuxBot على آليات اتصال احتياطية متعددة، تشمل خوارزمية توليد النطاقات (DGA) القائمة على SHA512، وبروتوكول P2P gossip مع أوامر موقعة بـEd25519، وقنوات IRC، واستعلامات DNS TXT، واستطلاعات HTTP كآلية احتياطية نهائية.
وفقاً لوحدة Unit 42، يستخدم مكون خادم C2 المبني بلغة Go ثلاثة منافذ TCP مختلفة للاتصالات الواردة:
- المنفذ TCP 1999 (أو 31337) لمعالجة إرسال الأوامر المشفرة إلى البوتات المتصلة.
- المنفذ TCP 2222 لتوفير واجهة تفاعلية للمشغلين عبر SSH.
- المنفذ TCP 9999 لواجهة JSON للوصول البرمجي.
عند التشغيل، يتبع البوت نت تسلسلاً محدداً لإجراءات التمهيد. يبدأ بتحميل عنوان C2 من بنية متعددة المستويات، تتضمن قناة أساسية وخمس آليات بديلة. يتضمن التسلسل أيضاً إعداد حمايات لمكافحة التصحيح والآلات الافتراضية للتحقق من أدوات التحليل، وإخفاء اسم العملية، وتثبيت آليات الاستمرارية. يطلق البوت نت بعد ذلك وحدات فرعية متعددة، تشمل شن هجمات حرمان الخدمة الموزعة (DDoS)، وإنهاء العمليات المتنافسة، وإنشاء قنوات C2 عبر IRC وHTTP وDNS وP2P، وتشغيل الماسحات الضوئية لـTelnet وSSH وHTTP وAndroid Debug Bridge (ADB)، وتفعيل وكيل SOCKS5، وتنفيذ وظيفة لتعدين العملات المشفرة.
يستطيع ماسح HTTP المخصص إدارة ما يصل إلى 128 اتصالاً متزامناً، بهدف اكتشاف واجهات الويب الضعيفة. تُنفذ آلية الاستمرارية عبر خدمة systemd، وإدخالات cron، وعملية "watchdog keepalive" لضمان بقاء TuxBot قيد التشغيل على الجهاز المخترق. تشير Unit 42 إلى أن "ملفات متعددة تحتوي على تعليقات حرفية لتفكير نموذج لغوي كبير (LLM chain-of-thought reasoning) تتضمن منطق الذكاء الاصطناعي الداخلي أثناء قيامه بمهام النقل، مع مقاطعات ذاتية وقرارات وإشارات إلى 'المستخدم' (أي المطور الذي قدم المطالبة لنموذج LLM)." هذه الملاحظات غير المحذوفة تؤكد التدخل المباشر للذكاء الاصطناعي في عملية التطوير، حتى لو كانت النتيجة النهائية تعاني من عيوب.
السياق وتأثير السوق
يضع الكشف عن TuxBot v3 Evolution هذا البوت نت ضمن سياق بيئي أوسع يُعرف بتزايد تعقيد هجمات إنترنت الأشياء. تعود أصول هذا الإطار إلى Mirai وAISURU وWuhan، وهي شبكات بوت نت أثبتت فعاليتها في استغلال الأجهزة الضعيفة، بالإضافة إلى نقل جزئي لوظائف من مجموعة أدوات MHDDoS مفتوحة المصدر. هذه السوابق تدل على طموح المطور لإنتاج أداة قوية. وفقاً لوصف الإطار، فقد صمم مطور TuxBot ما أسماه "منصة إطار عمل C2 احترافية مع لوحة تحكم متعددة المستخدمين ونشر آلي وقدرات هجومية معيارية".
يشير التشابه في البنية التحتية مع Kaitori v3.9 وأدوات AISURU إلى أن مشغل TuxBot يعمل ضمن منظومة Keksec، وهي مجموعة معروفة بتشغيل عدة أنواع من بوت نت IoT بالتوازي. هذا يضع TuxBot كجزء من محفظة تهديدات أكبر وأكثر تنظيماً، وليس مجرد مبادرة فردية معزولة. إن اعتماد المطور على النماذج اللغوية الكبيرة (LLMs) لتسريع عملية تطوير البرمجيات الخبيثة، حتى مع وجود تنبيهات الأمان داخل الكود ووظائف معطّلة، يمثل سابقة مقلقة. هذا النهج يتيح لمطور واحد إنشاء مجموعة أدوات متعددة الأوجه بسرعة غير مسبوقة، بما في ذلك قنوات C2 متعددة، وآلة افتراضية مخصصة للاستغلال، ولوحة DDoS-for-hire قائمة على Go، مما يخفض بشكل كبير حاجز الدخول لإنشاء أدوات هجومية متطورة.
يأتي الكشف عن TuxBot v3 في أعقاب ظهور بوت نت أخرى مثل RustDuck وAryStinger في يونيو 2026، والتي استهدفت الموجهات وكاميرات IP وصناديق Android والخوادم غير المؤمنة لضمها إلى شبكات تستخدم لتعطيل الخدمات عبر الإنترنت وإجراء الاستطلاع. هذا يؤكد استمرار وتصاعد التهديد الذي تشكله شبكات بوت نت IoT، مع ميل واضح نحو استخدام تقنيات متقدمة، بما في ذلك الذكاء الاصطناعي، لخفض عتبة الدخول لتطوير البرمجيات الخبيثة وزيادة فعاليتها المحتملة.
رؤية Glitch4Techs
تُظهر حالة TuxBot v3 Evolution مؤشراً واضحاً على مسار غير قابل للتراجع في تطوير البرمجيات الخبيثة: دمج النماذج اللغوية الكبيرة في عملية البناء. إن المزاعم حول فشل بعض الوظائف أو ترك تنبيهات أمنية لا تقلل من حجم التهديد الأساسي، بل تؤكد على نقص كفاءة المطور البشري في مراجعة وتدقيق الكود الذي أنتجه الذكاء الاصطناعي. هذا لا يعني أن النماذج اللغوية الكبيرة غير فعالة، بل إنها تقدم قوة دفع لا مثيل لها للمهاجمين ذوي الخبرة المحدودة، مما يقلل بشكل جذري من منحنى التعلم المطلوب لإنشاء أدوات معقدة. إن قدرة مطور واحد على تجميع إطار عمل بهذا التعقيد، حتى مع أخطاء أولية، يؤكد أن الذكاء الاصطناعي سيصبح حجر الزاوية في تطوير الهجمات المستقبلية. الحكم: TuxBot v3 هو إشارة تحذيرية حاسمة، وليس مجرد بوت نت فاشل. فشل المطور في إزالة تنبيهات الأمان أو إصلاح الوظائف المعطّلة لا ينفي حقيقة أن LLM قد اختصر مراحل تطوير كانت تتطلب شهوراً من العمل اليدوي، مما يخفض بشكل فعال حاجز الدخول لإنشاء أدوات هجومية معقدة لجهات فاعلة أقل مهارة مع تسارع لاحق في الجودة والكفاءة.
كن أول من يعرف بمستقبل التقنية
أهم الأخبار والتحليلات التقنية مباشرة في بريدك.



