گروه باج‌افزار LockBit که در اوایل سال 2024 مختل شده بود، در سپتامبر 2025 دوباره به فعالیت‌های خود بازگشت و سازمان‌های جدیدی را هدف حملات خود قرار داد. این گروه با انتشار نسخه جدیدی از باج‌افزار خود به نام LockBit 5.0 که با کد داخلی "ChuongDong" شناخته می‌شود، دوباره توانسته است شبکه‌های خود را احیا کرده و مدل باج‌افزار به‌عنوان سرویس (RaaS) خود را راه‌اندازی کند. حملات این گروه به سیستم‌های مختلف در مناطق اروپا، آمریکا و آسیا و به‌ویژه سیستم‌های ویندوز، لینوکس و ESXi گسترش یافته است. این بازگشت نشان‌دهنده توانایی گروه در جذب دوباره همکاران (افلیت‌ها) و بازیابی عملیات‌های باج‌افزاری خود است.

نسخه جدید باج‌افزار LockBit 5.0 چندین ویژگی جدید شامل بهبود قابلیت‌های پنهان‌سازی برای جلوگیری از تحلیل‌های دیجیتال و افزایش سرعت رمزگذاری به همراه الگوریتم‌های جدید برای شناسایی کمتر توسط ابزارهای امنیتی دارد. این ویژگی‌ها به گروه این امکان را می‌دهد تا حملات خود را به‌طور مؤثرتری انجام دهد و از شناسایی شدن جلوگیری کند.

برد RUBIK Pi 3، محصولی از شرکت Thundercomm، یکی از پیشرفته‌ترین بردهای System-on-Chip (SoC) در بازار کنونی شناخته می‌شود. این برد با چیپست مدرن Qualcomm QCS6490 مبتنی بر فناوری ساخت ۶ نانومتری، پردازنده‌ی ۸ ‌هسته‌ای پرقدرت، واحد گرافیکی Adreno 643 و هوش مصنوعی با توان پردازشی حدود ۱۲ TOPS، عملکردی در سطح دستگاه‌های حرفه‌ای ارائه می‌دهد. ترکیب ۸ گیگابایت حافظه‌ی LPDDR4x و ۱۲۸ گیگابایت فضای ذخیره‌سازی پرسرعت UFS 2.2، در کنار درگاه NVMe M.2 برای اتصال SSD، پورت‌های USB 3.0، خروجی HDMI، شبکه‌ی Gigabit Ethernet، Wi-Fi و Bluetooth، مجموعه‌ای کامل از قابلیت‌های سخت‌افزاری را فراهم کرده است.
پشتیبانی از سیستم‌عامل‌های Ubuntu، Debian و Android نیز انعطاف‌پذیری بالایی برای توسعه‌دهندگان و پژوهشگران فراهم می‌کند و این برد را به گزینه‌ای ایده‌آل برای کاربردهای AI، بینایی ماشین، IoT، رباتیک و حتی طراحی یک MiniPC قدرتمند و جمع‌وجور بدل کرده است. با توجه به قیمت حدود ۹۹ دلار، RUBIK Pi 3 توازن چشمگیری میان قدرت پردازش، تنوع امکانات، می‌تواند به‌عنوان رقیبی جدی برای بردهای مطرحی همچون Raspberry Pi 5 و Khadas Edge 2 مطرح شود.

امسال در رویداد پرطرفدار و هیجان‌انگیز «هکرهای دوست‌داشتنی»، قرار است با یک مهمون جنجالی از روسیه روبه‌رو شویم!
کیرل شیپولین، پژوهشگر و متخصص شناخته‌شده‌ی امنیت سایبری از شرکت Positive Technologies، مهمان ویژه‌ی این دوره است. او با ارائه‌ای تحت عنوان «نمونه‌های عملی شکار تهدید در ترافیک شبکه»، تجربیات ارزشمند خود را در زمینه‌ی تحلیل ترافیک، شناسایی تهدیدات پیشرفته و روش‌های نوین شکار حملات سایبری به اشتراک می‌گذارد.
اگر دنیای امنیت، هک اخلاقی و چالش‌های سایبری برایتان جذاب است، حضور در این رویداد را از دست ندهید — چرا که امسال «هکرهای دوست‌داشتنی» با حضور این هکر جنجالی روس، جذاب‌تر و پرانرژی‌تر از همیشه برگزار خواهد شد!

هکرها با سوءاستفاده از ابزار متن‌باز RedTiger نسخه‌ای از بدافزار infostealer ساخته‌اند که اطلاعات حساب‌های Discord، مرورگرها و کیف‌پول‌های رمزارز را می‌دزدد. این بدافزار با تزریق کدهای جاوااسکریپت در فایل‌های Discord می‌تواند ورودها، خریدها و حتی تغییر رمز عبور کاربران را رهگیری کند و داده‌های سرقت‌شده را از طریق سرویس‌های ابری به مهاجم ارسال کند.

RedTiger در اصل برای تست نفوذ طراحی شده بود، اما مجرمان سایبری با کامپایل آن به فایل‌های اجرایی جعلی (مانند بازی یا Discord) آن را در میان کاربران پخش می‌کنند. این بدافزار علاوه بر اطلاعات مرورگر، از سیستم قربانی عکس و اسکرین‌شات گرفته و برای گمراه‌کردن تحلیل‌گران امنیتی صدها فرایند و فایل تصادفی ایجاد می‌کند. کارشناسان توصیه می‌کنند کاربران از دانلود ابزارهای ناشناخته خودداری کرده، رمزهای خود را تغییر دهند، نشست‌های فعال را لغو کنند و حتماً احراز هویت دومرحله‌ای را فعال سازند.

ایکس (توییتر سابق) به کاربران خود هشدار داده است: اگر تا ۱۰ نوامبر ۲۰۲۵ دوباره کلیدهای امنیتی یا passkey خود را ثبت نکنید، حساب‌تان قفل خواهد شد. دلیل این هشدار ناگهانی، مهاجرت کامل سرویس از دامنهٔ twitter.com به x.com است؛ تغییری که باعث می‌شود کلیدهای امنیتی قدیمی، دیگر قادر به تأیید هویت نباشند. به بیان ساده‌تر، اگر کاربر تا موعد مقرر کلید خود را دوباره ثبت نکند، درِ ورودی حسابش برای همیشه بسته خواهد شد. X تأکید کرده که این اتفاق هیچ ارتباطی به حملهٔ سایبری ندارد.
کاربران باید به صفحهٔ تنظیمات امنیتی X بروند، کلیدهای فعلی را غیرفعال کرده و دوباره ثبت کنند. این فرایند تنها چند دقیقه طول می‌کشد، اما غفلت از آن می‌تواند بهای سنگینی داشته باشد: از دست رفتن دسترسی، از بین رفتن احراز هویت دومرحله‌ای، و نیاز به بازیابی حساب از صفر. ایکس با لحن هشداردهنده یادآوری کرده است که این مهاجرت بخشی از تحول بزرگ برند است—اما برای کاربران، این شاید آزمونی باشد میان امنیت و بی‌توجهی. اگر کلید سخت‌افزاری مانند YubiKey دارید، اکنون وقت آن است که دست‌به‌کار شوید؛ پیش از آنکه تاریخ انقضا فرا برسد و حساب‌تان برای همیشه بسته شود

شرکت ایتالیایی Memento Labs که از بقایای Hacking Team شکل گرفته، در حمله‌ای پیشرفته موسوم به ForumTroll نقش داشته است. این حمله با بهره‌گیری از یک zero day در کروم، نهادهای روسی را هدف قرار داد و از لینک‌های فیشینگ هوشمند برای آلوده‌سازی قربانیان استفاده کرد.
بدافزار چندمرحله‌ای این عملیات شامل بارگذار و جاسوس‌افزاری به نام LeetAgent بود که توان سرقت داده و کنترل کامل سیستم را داشت. در برخی موارد، جاسوس‌افزار Dante نیز نصب می‌شد؛ شباهت فنی آن به محصولات Hacking Team نقش Memento Labs را در این زنجیره حمله تقویت می‌کند.

چندین بسته‌ی مخرب در مخزن npm با نام‌هایی بسیار شبیه به کتابخانه‌های معتبر منتشر شده‌اند تا توسعه‌دهندگان را فریب داده و بدافزار پیچیده‌ای را روی سیستم‌های Windows، Linux و macOS نصب کنند. این بدافزار پس از نصب، با اجرای چندین مرحله رمزگذاری و نمایش یک CAPTCHA جعلی در ترمینال برای پنهان‌سازی رفتار خود، به ذخیره‌سازهای کلید سیستم‌عامل‌ها مانند Credential Manager، Keychain و libsecret دسترسی پیدا می‌کند. سپس اطلاعات حساسی همچون کلیدهای SSH، توکن‌های احراز هویت، رمزهای مرورگرها و فایل‌های حساس پروژه‌ها را جمع‌آوری کرده و به سرور کنترل مهاجمان ارسال می‌کند. استفاده از این بسته‌ها می‌تواند زنجیره‌ی تأمین نرم‌افزار را به خطر اندازد، چراکه مهاجمان از اعتماد ذاتی جامعه‌ی متن‌باز سوءاستفاده کرده‌اند تا با تغییر جزئی در نام یا نسخه، بدافزار خود را در میان کتابخانه‌های پرکاربرد پنهان کنند. این رخداد بار دیگر اهمیت بررسی دقیق منبع بسته‌ها، امضای دیجیتال و مدیریت سخت‌گیرانه وابستگی‌ها در پروژه‌های توسعه نرم‌افزار را یادآوری می‌کند.

هکرهای چینی با سوءاستفاده از یک zero day خطرناک در نرم‌افزار Lanscope Endpoint Manager موفق شدند کنترل کامل سیستم‌های هدف را در دست بگیرند. این نقص امنیتی که با شناسه CVE-2025-61932 شناسایی شده، به مهاجمان اجازه می‌داد با دسترسی سطح SYSTEM بدافزار قدرتمندی به نام Gokcpdoor را نصب کنند؛ ابزاری با قابلیت کنترل از راه دور، سرقت داده و برقراری چند مسیر ارتباطی برای فرار از شناسایی. شرکت ژاپنی Motex که سازنده Lanscope است، در تاریخ ۲۰ اکتبر وصله‌ی امنیتی را منتشر کرد، اما تا آن زمان این آسیب‌پذیری به‌صورت فعال مورد سوءاستفاده قرار گرفته بود. کارشناسان هشدار داده‌اند که تنها راه امن، به‌روزرسانی فوری نرم‌افزار است، چرا که هیچ روش موقتی برای جلوگیری از این حمله وجود ندارد — نمونه‌ای دیگر از نبرد بی‌پایان میان به‌روزرسانی و بهره‌برداری در دنیای سایبری.

در اولین روزهای محاسبات، نمونه‌های «خودتکثیر» که امروز به‌عنوان نخستین بدافزارها از آن‌ها یاد می‌شود، معمولاً پروژه‌های کوچک پژوهشی بودند: قطعات نرم‌افزاری نسبتاً کم‌حجم نوشته‌شده با زبان‌های مانند اسمبلی، که اغلب توسط یک یا دو نفر در چند هفته تا چند ماه توسعه می‌یافتند و هدفِ اصلی‌شان اثبات یک ایده یا رفتار بود، نه خلق ابزار خرابکارانه. نمونه‌های دهه‌های ۱۹۸۰ و ۱۹۹۰ معمولاً یک یا چند فایل منبع و چند هزار خط کد بیشتر نداشتند، در حالی در دسترس‌بودن روش‌های بازاستفاده و بسته‌بندی چندشکل (polymorphic packers) بعدها به افزایش سریع و تنوع نمونه‌ها انجامید.
تحلیل‌های نشان می‌دهند تولید بدافزار از مرحلهٔ تک‌نفره و کوچک به فرآیندی صنعتی تبدیل شده است: اندازهٔ کد، تعداد فایل‌ها و تنوع زبان‌ها در ترتیب بزرگی افزایش یافته و زمان و تلاش توسعه نیز به‌طور مشهودی رشد کرده است؛ به‌عبارت دیگر، آنچه زمانی «آزمایشِ فنی» یک نفره بود، امروز می‌تواند به یک پروژهٔ چندماهه با چند توسعه‌دهنده و ماژول‌های جداگانه تبدیل شود، امری که ضرورت سازوکارهای دفاعی، کنترل کیفیت و چارچوب‌های اخلاقی در پژوهش و توسعهٔ نرم‌افزار را برجسته می‌سازد.

بدافزار تازه‌ای به نام SesameOp توسط محققان مایکروسافت شناسایی شده که با روشی خلاقانه و خطرناک، از OpenAI Assistants API به‌عنوان کانال فرمان و کنترل (C2) استفاده می‌کند. این بدافزار با سوءاستفاده از زیرساخت قانونی سرویس‌های هوش مصنوعی، فرمان‌های رمزگذاری‌شده خود را در قالب درخواست‌های کاملاً مشروع به API ارسال کرده و پاسخ‌ها را به‌عنوان دستورالعمل اجرایی دریافت می‌کند؛ روشی که باعث می‌شود ترافیک آن برای سیستم‌های امنیتی تقریباً غیرقابل تشخیص باشد.
تحلیل‌ها نشان می‌دهد این تکنیک نوآورانه نشانه‌ی مرحله‌ی جدیدی در تکامل بدافزارهاست، جایی که مهاجمان از پلتفرم‌های معتبر برای پنهان‌سازی ارتباطات مخرب استفاده می‌کنند. کارشناسان امنیتی هشدار داده‌اند که چنین سوءاستفاده‌هایی می‌تواند باعث «مشروع‌نمایی حملات» شود و مقابله با آن مستلزم نظارت هوشمندانه‌تر بر ترافیک ابری و به‌روزرسانی سیاست‌های دفاعی سازمان‌ها در برابر تهدیدات مبتنی بر هوش مصنوعی است.

هکرها در موجی از حملات هدفمند از ابزارهای مشروع Remote Monitoring and Management (RMM) برای نفوذ به شرکت‌های حمل‌ونقل و کارگزاران بار استفاده کرده‌اند: با ارسال ایمیل‌ها و لینک‌های فیشینگ که قربانی را به نصب بسته‌های اجرایی جعلی می‌کشاند، مهاجمان RMM را روی سیستم‌های کارمندان نصب و از راه دور کنترل کامیون‌ها، تغییر مسیر محموله‌ها و سرقت فیزیکی بار را انجام می‌دهند — روشی که به‌خاطر ماهیت «قابل‌اعتماد» این ابزارها، کشف و ردیابی را دشوار می‌کند.
آسیب‌پذیری این حملات تنها به یک کشور محدود نیست؛ نمونه‌هایی در آمریکای شمالی، امریکای لاتین، اروپا و آسیا مشاهده شده و ابزارهایی نظیر ScreenConnect، SimpleHelp، PDQ Connect و LogMeIn Resolve در گزارش‌ها نام برده شده‌اند.
پیام کلیدی برای شرکت‌های لجستیکی این است که «مجوز و قابلیت نصب RMM» باید محدود و تحت سخت‌ترین کنترل‌ها قرار گیرد: جداسازی شبکه‌های OT/IT، اجرای احراز هویت چندعاملی، محدود کردن نصب نرم‌افزار به ایستگاه‌های کاری مجاز، و نظارت مستمر بر رفتار RMM و تغییرات در سیستم‌های زمان‌بندی محموله از ضروریات دفاعی‌اند.