أشارت شركة الأمن السيبراني Gen Digital إلى أن التعاون داخل المنظومات المدعومة من الدول أصبح أكثر شيوعًا، حيث تم رصد تداخلات في البنية التحتية بين مجموعات تهديد بارزة مثل Lazarus Group وKimsuky المرتبطتين بكوريا الشمالية، وذلك عبر عنوان IP (216.219.87[.]41) الذي ظهر في حملة Contagious Interview. هذا التداخل يعكس نمطًا متناميًا من إعادة استخدام الموارد بين جهات مختلفة، ما يزيد من تعقيد المشهد الأمني العالمي.
هجمات متعددة الأطراف
كشفت الشركة أيضًا عن حمولة منسوبة إلى مجموعة DoNot Team قامت بتنفيذ أداة تحميل معروفة باسم SideWinder loader في هجوم استهدف ضحية في باكستان. هذا المثال يوضح كيف يمكن لمجموعات مختلفة أن تتقاطع في استخدام أدوات أو تقنيات متشابهة، مما يعزز فرضية وجود تعاون أو على الأقل إعادة استخدام للبنية التحتية.
البنية التحتية المشتركة
في تطور أكثر إثارة للاهتمام، تم رصد عنوان IP كان يُستخدم سابقًا من قبل مجموعة Gamaredon كخادم تحكم (C2) وهو يستضيف نسخة مشفرة من InvisibleFerret، وهو باب خلفي مكتوب بلغة Python ومرتبط بحملة Contagious Interview. هذا التداخل يثير تساؤلات حول طبيعة العلاقة بين المجموعتين، حيث قد يكون العنوان مجرد وكيل أو نقطة VPN، لكن التزامن الزمني وتشابه نمط الاستضافة يشيران إلى احتمال وجود تعاون تشغيلي.
دلالات أمنية
رغم أن طبيعة التعاون لا تزال غير واضحة — سواء كانت مجموعة Lazarus قد استخدمت خادمًا تسيطر عليه Gamaredon أو أن كلاهما شارك نفس العميل — إلا أن التداخل وثيق للغاية بحيث لا يمكن تجاهله. هذه المؤشرات تعكس اتجاهًا متزايدًا نحو تعاون المجموعات المدعومة من الدول، ما يضاعف من خطورة الهجمات ويعقد جهود الدفاع السيبراني.
