تحقيق: كيف ارتبطت أدوات ONNX وCaffeine بقضية “شباب التصيّد” في مصر؟ خلفيات تقنية وتقاطعات مثيرة للجدل

تتقاطع خلال الأسابيع الأخيرة سلسلة من التقارير الأمنية والتحقيقات الإعلامية حول شبكة تصيّد إلكتروني قيل إنها تُدار من داخل مصر، بالتزامن مع كشف باحثين عالميين عن هوية مطور إحدى أشهر أدوات “التصيّد كخدمة” في العالم. وبينما تتعامل الصحف مع القضية باعتبارها شبكة لشباب مصريين استهدفوا شركات كبرى، يكشف تقرير Dark Atlas جانبًا آخر من القصة يرتبط بمنصة ONNX و“Caffeine Phishing Kit”.

في منتصف يونيو، نشر فريق Dark Atlas تحقيقًا موسعًا حول متجر ONNX ومنصة “Caffeine Phishing Kit”. التحقيق تتبع هوية المطور عبر بصمة رقمية ممتدة لسنوات، ليصل إلى الاسم المستعار "MRxC0DER" الذي ظهر منذ 2017 في سياق نشر عينات خبيثة على منصات تحليل البرمجيات.

أظهرت بيانات التحقيق أن المطور بنى منصة متكاملة تُباع باشتراك شهري، تقدم قوالب جاهزة لاختراق حسابات Office 365 وGoogle Workspace وApple ID. يحصل المهاجمون على لوحة تحكم تتابع الضحايا لحظيًا، مع تنبيهات فورية ودعم فني، ما يجعل العملية أقرب إلى “منتج سحابي” وليس مجرد أداة قرصنة معزولة.

تكشف منصة Caffeine — وغيرها من متاجر التصيّد — عن تطور ملحوظ في نموذج الهجمات. فبدل أن يكون المهاجم مبرمجًا ذا مهارات عالية، صار بإمكان أي شخص الاشتراك في خدمة توفر:

هذا ما جعل “التصيّد كخدمة” قطاعًا مربحًا، يتنافس فيه المطورون على تقديم أدوات أكثر احترافًا، بينما تتسابق الشركات لرفع مستوى الحماية.

على الجانب المحلي، نشرت صحف مصرية بينها تقارير ذكرت أن الأجهزة الأمنية ضبطت مجموعة تضم خمسة شباب (بين 18 و25 عامًا)، اتُّهموا ببناء أكثر من 240 موقع تصيّد تستنسخ صفحات تسجيل دخول خاصة بـ Microsoft Office 365 وعدد من الشركات العالمية.

وبحسب ما نشرته تلك الصحف، فإن الشبكة كانت تدير لوحات لاستقبال بيانات دخول الضحايا لحظيًا، وتبيع الخدمات لعملاء من خارج مصر.

حتى الآن، لا توجد جهة رسمية أكدت وجود صلة مباشرة بين قضية الشبكة المحلية وبين مطوّر Caffeine أو منصة ONNX. لكن:

مصدر متداول على فيسبوك — منسوب لصاحب بلاغ — ذكر أن شركة Microsoft قدمت شكوى رسمية، وأن جلسة تحقيق عُقدت يوم 6 ديسمبر بالتنسيق مع جهات رقابية دولية. لكن هذه المعلومات ما تزال ضمن نطاق “غير المؤكد”.

أحد أهم ما كشفه Dark Atlas هو أن المهاجمين لا يسقطون بسبب “ذكاء الأنظمة”، بل بسبب أثر صغير: بريد قديم، رقم هاتف مستخدم، حساب GitHub منسي. وتشير الصحف المصرية إلى أن أحد المتهمين ترك آثارًا مماثلة سمحت بربط نشاطاته الرقمية ببعضها.

عدة عوامل تجعل المنطقة العربية بيئة خصبة لتوسع هذه الشبكات:

في المقابل، تعتمد شركات مثل Microsoft وGoogle على أنظمة كشف مبنية على الذكاء الاصطناعي لإيقاف الهجمات قبل وصولها للمستخدمين، لكن السباق ما يزال مستمرًا.

القصة الحالية ليست مجرد قضية “شباب يخترقون حسابات”، ولا مجرد كشف لهوية مطور عالمي. ما نراه هو تغير جذري في شكل الجريمة الإلكترونية: أدوات احترافية تُباع كمنتجات، شبكات عابرة للحدود، وحالات محلية تتقاطع مع تحقيقات دولية دون وضوح كامل للصورة.

حتى صدور بيانات رسمية من Microsoft أو النيابة، يبقى الربط بين القضيتين احتمالًا قائمًا لكنه غير محسوم. ما هو مؤكد أن “التصيّد كخدمة” أصبح صناعة عالمية، وأن المنطقة العربية دخلت — بقصد أو دون قصد — جزءًا من خارطة هذا النشاط المعقّد.