قدم فريق البحث والتحليل العالمي (GReAT) في كاسبرسكي توقعاته حول مشهد التهديدات المتقدمة المستمرة (APT) لعام 2025، مسلطاً الضوء على تغيّرات بارزة في التهديدات السيبرانية. وتتضمن هذه التوقعات ارتفاعاً في تحالفات نشطاء القرصنة، وزيادة في استخدام الأدوات المدعومة بالذكاء الاصطناعي من قبل جهات مرتبطة بالدول – غالبًا مع أبواب خلفية مدمجة، فضلاً عن مزيد من هجمات سلاسل التوريد على المشاريع  مفتوحة المصدر، بالإضافة إلى طفرة في تطوير البرمجيات الخبيثة باستخدام لغتَي البرمجة Go وC++.

كل عام، وكجزء من نشرة كاسبرسكي الأمنية، يقدم فريق البحث والتحليل العالمي تحليلات معمقة إزاء نشاط التهديدات المتقدمة المستمرة الأكثر تعقيداً وتوجهات الأخطار المتنامية. وبفضل مراقبته لما يربو على 900 مجموعة وعملية التهديدات المتقدمة المستمرة حول العالم، يقدم الفريق خارطة طريق للمنظمات ومحترفي الأمن السيبراني للاستعداد للعام المقبل.  

توسع استخدام الذكاء الاصطناعي في يد الجهات التابعة للدول

في عام 2024، استخدم المجرمون السيبرانيون إلى جانب مجموعات التهديدات المتقدمة المستمرة الذكاء الاصطناعي بصورة متنامية بغية شن هجمات أكثر إقناعاً. فعلى سبيل المثال، استعملت مجموعة The Lazarus Group صوراً مولدة بالذكاء الاصطناعي لاستغلال ثغرة يوم صفري في متصفح Chrome وسرقة عملات رقمية.من بين التوجهات الأخرى الداعية للقلق قيام مجموعات التهديدات المتقدمة المستمرة بنشر نسخ من نماذج الذكاء الاصطناعي تحتوي على أبواب خلفية. قد تستهدف هذه المجموعات نماذج الذكاء الاصطناعي ومجموعات البيانات المفتوحة المصدر الشهيرة، من خلال تضمين أكواد خبيثة، أو إدخال تحيزات خفية يصعب رصدها لكنها منتشرة على نطاق واسع. ويشير خبراء فريق البحث والتحليل العالمي إلى أن النماذج اللغوية الكبيرة ستغدو أداة قياسية تستخدم في الاستكشاف والتقصي، وأتمتة اكتشاف الثغرات، وتوليد النصوص البرمجية الخبيثة لتحسين معدلات نجاح الهجمات. 

حول ذلك، علق ماهر ياموت، باحث أمني رئيسي في فريق البحث والتحليل العالمي لدى كاسبرسكي، قائلاً: «الذكاء الاصطناعي سيف ذو حدين؛ ففي حين يستخدمه المجرمون السيبرانيون لتحسين هجماتهم، بمقدور المدافعين تسخير قوته في اكتشاف التهديدات على نحو أسرع، وفي تعزيز بروتوكولات الأمان. ومع ذلك، يتحتم على خبراء الأمن السيبراني تناول هذه الأداة القوية مع توخي الحذر، لضمان أن توظيفها لا يفتح سبلاً جديدة للاستغلال غير المقصود.» 

يتوقع الخبراء أيضاً أن مجموعات التهديدات المتقدمة المستمرة ستستخدم تقنية التزييف العميق بشكل متزايد، في سعيها نحو انتحال شخصية أفراد بارزين. وقد يندرج تحت ذلك إنشاء رسائل أو فيديوهات شديدة الإقناع لخداع الموظفين، أو سرقة المعلومات الحساسة، أو تنفيذ أفعال خبيثة أخرى. 

تشمل توقعات التهديدات المتقدمة المستمرة الأخرى لعام 2025 ما يلي:

تصاعد هجمات سلسلة التوريد على المشاريع مفتوحة المصدر.بينما تبرز حالة XZ سيئة السمعة قضية ملحة، فقد رفعت هذه الحادثة من الوعي في أوساط مجتمع الأمن السيبراني، واستحثت المنظمات على تحسين مراقبتها للمشاريع مفتوحة المصدر. وفي حين قد لا تزداد وتيرة هجمات من هذا القبيل بشكل كبير، من غير المستبعد أن يرتفع عدد ما يجري اكتشافه من الهجمات القائمة فعلياً، مع التحسن في جهود الكشف.

برمجيات C++ وGo الخبيثة تتبنى المنظومة مفتوحة المصدر

مع إقبال المشاريع مفتوحة المصدر بشكل متزايد على اعتماد الإصدارات الحديثة من لغتَي البرمجة C++ وGo، سيحتاج المهاجمون إلى تكييف برمجياتهم الخبيثة للتماشي مع هاتين اللغتَين شائعتَي الاستعمال. وفي عام 2025، يمكننا التكهن بزيادة كبيرة في انتقال مجموعات التهديدات المتقدمة المستمرة والمجرمين السيبرانيين صوب الإصدارات الأحدث من C++ وGo، مستفيدين من انتشارها المتزايد في المشاريع مفتوحة المصدر. 

إنترنت الأشياء كناقل هجمات تهديدات مستعصية متقدمة متنامٍ في 2025 وسط توقع بلوغ تعداد أجهزة إنترنت الأشياء 32 مليار في عام 2030، فالأخطار الأمنية ستتفاقم هي الأخرى. إذ تعتمد العديد من الأجهزة على خوادم غير آمنة وبرمجيات ثابتة متقادمة، ما يجعلها عرضة للاختراق. وبدورهم، سيستغل المهاجمون نقاط الضعف في التطبيقات وسلاسل التوريد، فيغرسون البرمجيات الخبيثة أثناء مراحل الإنتاج. وفي وقت لا تزال فيه الرؤية قاصرة على صعيد أمان إنترنت الأشياء، سيعاني المدافعون في مواكبة وتيرة التهديدات، ويُرجح أن يتفاقم هذا الوضع في 2025.

تحالفات نشطاء القرصنة ستتصاعد في 2025

لا تنفك مجموعات نشطاء القرصنة تشكل التحالفات، وتتشارك الأدوات والموارد بنسق متصاعد، جرياً وراء أهداف أضخم وأكثر تأثيرا.  وبحلول عام 2025، من الوراد أن تشهد تلك التحالفات اتساعاً في حجمها، مفضية إلى حملات أكثر ترابطاً وتدميراً في ظل توحد المجموعات حول أهداف مشتركة ذات طابع اجتماعي وسياسي.

طرق الاستغلال من نمط «أحضر برنامج التشغيل المعرض للخطر الخاص بك» في حملات التهديدات المتقدمة المستمرة

لقد غدا أسلوب BYOVD (أحضر برنامج التشغيل المعرض للخطر الخاص بك) توجهاً رائجاً في عام 2024. وبالنظر إلى القادم، من المتوقع استمرار هذا الاتجاه في عام 2025. وفي وقت يزداد فيه المهاجمون براعة في الإفادة من الثغرات منخفضة المستوى، من المرجح أن يتعاظم تعقيد هجمات كهذه، ولربما نرى أساليب أكثر إتقاناً، مثل استغلال برامج التشغيل المتقادمة أو العائدة لأطراف خارجية، والتي عادة لا تخضع للفحص والمراجعة الدقيقة بحثاً عن عيوب أمنية.