نعم السيطرة على BreachForums للمرة الرابعة 4، ففي تقرير لموقع SOCRadar، أعلنت قوة إنفاذ القانون الدولية وهذه المرة بقيادة أمريكية فرنسية، الاستيلاء على منتديات BreachForums، الموجودة بنسختيها العادية وفي الإنترنت المظلم، وسنتداول معا التعريف بهذه المجموعة وتاريخها بين السيطرة على مواقعها ورجوعها مرة أخرى، وما الذي تقوم به لأجل السيطرة على بيانات ضحاياها وأسلوبها في التعامل معها.
السيطرة على BreachForums للمرة الرابعة 4، نعم مرة أخرى
صادرت وزارة العدل الأمريكية ومكتب التحقيقات الفيدرالي FBI، ووحدة مكافحة الجرائم الإلكترونية BL2C الفرنسية، بدعم من مكتب المدعي العام في باريس، أحدث نطاق تابع لموقع BreachForums، وذلك في خطوة تمثل خرقا جديدا في المعركة ضد مجموعة الجرائم الإلكترونية ShinyHunters وشركائها، الذين أصبحوا اليوم جزءا من تحالف Scattered Lapsus$ Hunters.
النطاق المصادر hackforums[.]hn كان قد ابتعد عن نموذج المنتدى التقليدي، ليعمل كبوابة تسريب وابتزاز مرتبطة بحملة مستمرة تستهدف شركة Salesforce وعملاءها من الشركات.
وفي حال زيارتك للموقع المسيطر عليه، ستشاهد إشعارا رسميا بالمصادرة يعرض فيه جهات إنفاذ القانون الأمريكية والفرنسية، وبينما تم تعطيل النسخة العادية Clearnet الموجود على الإنترنت السطحي، إلا أنه وحتى نشر SOCRadar تقريرها، كان لا يزال الموقع في الإنترنت المظلم نشطا حتى وقت قريب جدا، وقد تم أيضا العمل على السيطرة عليه بالرغم من أنه لم يكن مفعلا.
من منتدى قرصنة إلى منصة ابتزاز
في أوائل أكتوبر، كانت منتديات BreachForums قد نشرت رسالة وداع ألمحت إلى إغلاقه نهائيا، ولكن خلال أيام، عاد نفس النطاق للظهور كمنصة مخصصة لنشر بيانات مسروقة من عملاء Salesforce والذين رفضوا دفع الفدية، وتشير التقارير إلى أن من بين الضحايا شركة الطيران الأسترالية كوانتاس والخطوط الجوية الفيتنامية، وشركة ديزني، ومطاعم ماكدونالدز، وشركة خدمة الطرود المتحدة UPS، والقائمة تطول التي تحتوي على عدد من الشركات الكبرى الأخرى، والتي استهدفت عبر حملة هندسة اجتماعية تقودها المجموعة.
مهلة “يوم القيامة” على تيليجرام
قامت مجموعة الجرائم الإلكترونية ShinyHunters بالنشر على قناتها في تيليجرام مهلة نهائية ووصفتها بـ“يوم القيامة”، جاء فيها أن بيانات الضحايا الذين لم يدفعوا سيتم تسريبها في تمام الساعة 11:59 مساء بالتوقيت الشرقي وبالتحديد نيويورك، يوم 10 تشرين أول/أكتوبر 2025، ويبدو أنه بحسب البيان الذي أصدرته المجموعة أنه كان السبب في التسريع من عملية السيطرة على الموقع وتحييده لعدم حدوث ذلك.
إقرار بما حدث وتأكيد الاستيلاء
بعد إزالة النطاق، أصدرت مجموعة ShinyHunters بيانا موقعا بتوقيع PGP، وهي اختصار لعبارة Pretty Good Privacy، أي خصوصية جيدة جدا، وهو نظام تشفير رقمي يستخدم لتأمين الرسائل والملفات والتحقق من هوية المرسل، ويعد من أكثر الطرق استخداما في مجتمع الأمن السيبراني وقد جاء فيه:
“تم الاستيلاء على BreachForums اليوم من قِبل مكتب التحقيقات الفيدرالي وشركائه الدوليين.
جميع نطاقاتنا صودرت من قبل حكومة الولايات المتحدة.
انتهى عصر المنتديات.”
وقد أكدت المجموعة أن العملية لم تؤثر على حملتها أي ضد Salesforce، ولكنها أقرت بتدمير خوادمها ونسخها الاحتياطية، مشيرة إلى أن أرشيفات قواعد البيانات وبيانات الضمان منذ عام 2023 قد تم إختراقها فعلا.
الجدول الزمني لتاريخ السيطرة على BreachForums
لفهم المشهد الحالي، من المفيد مراجعة تاريخه الطويل والمعقد، فما بدأ كبديل لموقع RaidForums عام 2022، حتى تحول لاحقا إلى أحد أبرز مراكز الجرائم الإلكترونية، ورغم كل عملية مصادرة للموقع أو اعتقال لأحد العاملين فيه، كان الموقع يعود بسرعة في نسخة جديدة، حتى أصبح أشبه بباب دوار بين الإغلاق وإعادة التشغيل، وفي الجدول التالي يبين تاريخ المجموعة حتى آخر عملية سيطرة وتحييد لموقعه:
| التاريخ | ملخص الحدث |
| آذار/مارس 2023 | إعتقال مؤسس الموقع الأصلي كونور فيتزباتريك PomPomPurin في نيويورك. |
| حزيران/يونيو 2023 | أول مصادرة رسمية للنطاق بعد ثلاثة أشهر من الاعتقال. |
| أيار/مايو 2024 | ثاني عملية إزالة كبرى بقيادة ShinyHunters، وقد تمت مصادرة المنتدى مجددا. |
| نيسان/أبريل – آب/أغسطس 2025 | تنفيذ إعتقالات في فرنسا والولايات المتحدة بحق مشغلي الموقع. |
| أيلول/سبتمبر 2025 | إعادة الحكم على فيتزباتريك بالسجن ثلاث سنوات. |
| 10 تشرين أول/أكتوبر 2025 | آخر مصادرة، تزامنا مع حملة ابتزاز ضد عملاء Salesforce. |
هذا التسلسل الزمني الذي تراه يظهر مطاردة طويلة الأمد بين مشغلي BreachForums وجهات إنفاذ القانون، حيث أصبح كل إصدار جديد أقصر عمرا وأبطأ في التعافي، وفي النهاية يبدو أن المنتدى لم يكن سوى مرحلة في طريق نهايته المحتومة.
من هم Scattered Lapsus$ Hunters؟
Scattered Lapsus$ Hunters هو تحالف جديد يضم عناصر أو أساليب من مجموعاتScattered Spider وLAPSUS$ وShinyHunters، وتتركز أنشطتهم على الهندسة الاجتماعية والتصيد الصوتي Vishing واستغلال التطبيقات المتصلة للوصول إلى أنظمة الضحايا، مع تركيز خاص على Salesforce، ومنصات البرمجيات كخدمة SaaS الأخرى.
فبدلا من استغلال الثغرات التقنية، فإن هذا التحالف يعتمد على خداع الموظفين والمتعاقدين أو الموردين الذين يتم الاتفاق معهم لتقديم خدماتهم، وذلك لمنحهم صلاحيات وصول أو لتثبيت أدوات خبيثة. وبعد التسلل، يتحركون أفقيا داخل الشبكة أو بشكل جانبي حتى لا يتم كشفهم، وبالتالي يعملون على سرقة البيانات، ويستخدمونها كورقة ضغط لدفع الشركات نحو دفع الفدية.
SLSH وهي اختصار لجملة Scattered LAPSUS$ Hunters، عادت إلى النشاط بعد فترة خمول في أيلول/سبتمبر الماضي، وبدأت حملة هجومية جديدة أكثر عدوانية في تشرين أول/ أكتوبر 2025، وقد أطلقت موقع تسريبات جديد DLS، ووسعت في وقت سابق وجودها على منصة التواصل الاجتماعي تيليغرام لتوجه جهودها نحو ابتزاز الشركات وتسريب البيانات.
وكلمة DLS هنا هي اختصار لـجملة Data Leak Site أي موقع تسريبات البيانات، وهو موقع على الإنترنت غالبا ما يتواجد في االإنترنت المظلم، أو أحيانا يتواجد على الإنترنت العادي، وتنشئه جماعات القرصنة كـSLSH لعرض أو نشر البيانات التي سرقوها من الشركات، ويتم استخدام الموقع كوسيلة للضغط والابتزاز، وإذا رفضت، تعمل علة نشر البيانات المسروقة كليا أو حتى جزئيا، من أجل ابتزاز ضحاياها إن لم تدفع الفدية لأجل عدم حدوث ذلك، ووقوع البيانات في أيدي من يريد استغلالها لأي غرض.
ونظرا لأن منتديات BreachForums أصبحت منصة للتسريب والابتزاز الخاصة بهم، فإن الاستيلاء عليها يمثل ضربة مباشرة لبنيتهم التحتية، رغم أن المجموعة لا تزال نشطة حتى الآن.
الخلاصة
رغم هذه العملية الناجحة، يبقى الإنترنت المظلم مجالا حيا يعيد فيه المهاجمون تنظيم صفوفهم بسرعة، ولأجل ذلك، تعد المراقبة المستمرة للمصادر السرية عنصرا أساسيا في الدفاع السيبراني.
عملية مصادرة منتديات BreachForums تظهر أن ما تعرف بسلطات إنفاذ القانون مصممة على تفكيك شبكات الجرائم الإلكترونية التي تعرفها بأنها العابرة للحدود، ولكنها أيضا تذكرنا بمرونة هذه المجموعات وقدرتها على إعادة التشكل والتموضع، وأن المعركة مستمرة بين ما تقوله سلطات الإنفاذ أنه بين الخير والشر، حيث يكون فيها الرصد المبكر والمعلومات الدقيقة التي يتم جمعها هما السلاح الأقوى.
فيما يلي الترجمة الخاصة برسالة المجموعة ShinyHunters والتي نصها كالتالي:
—–بداية رسالة موقعة PGP—-
التجزئة: SHA512
مرحبا،
تم الاستيلاء على موقع BreachForums من قبل مكتب التحقيقات الفيدرالي وشركائه الدوليين اليوم. كان هذا أمرًا لا مفر منه، ولست متفاجئًا. لم يتم القبض عليّ ولا على أي شخص آخر متورط في هذه المجموعة. تم الاستيلاء على جميع نطاقات BreachForums من قبل حكومة الولايات المتحدة قبل بضعة أيام. لقد انتهى عصر المنتديات.
لقد أجرينا استجابة شاملة للحوادث على البنية التحتية لموقع BreachForums منذ الاستيلاء على النطاقات:
تم اختراق أحدث نسخة احتياطية لقاعدة بيانات موقع BreachForums مع كل نسخة احتياطية لقاعدة البيانات منذ عام 2023 حتى الآن.
تم اختراق جميع قواعد بيانات الضمان منذ إصدارها.
تم الاستيلاء على خوادم الواجهة الخلفية نفسها وتدميرها.
بأبسط العبارات، من المحتمل جدًا أن نكون قد تعرضنا للاختراق من قبل حكومة الولايات المتحدة، نظرا لأن صفحة البداية الخاصة بهم موجودة على موقع BreachForums، فهذه علامة واضحة على أن كل شيء تحت سيطرتنا ولم يتمكنوا من الوصول إليه قد اختفى.
من أجل سلامتك وأمنك وعقلك، حافظ على أمنك تحت السيطرة. ليس لدي شك في أن مكتب التحقيقات الفيدرالي والشركاء الدوليين الآخرين المعنيين سيتخذون إجراءات صارمة ضد العديد من الأفراد في الأسابيع أو الأشهر القليلة القادمة.
على مر السنين، مر موقع BreachForums باضطرابات كبيرة. وحسب تقديري، هذه هي المرة الرابعة، بما في ذلك الاستيلاء على موقع Raid Forums، التي يتخذ فيها مكتب التحقيقات الفيدرالي إجراءات متسقة. لم نعد نخوض هذه الحرب، هذه هي النهاية رسميًا.
لتأكيد نظرية مؤامرة جامحة طرحها العديد من الأفراد وبعض الباحثين الأمنيين على مر الزمن:
ما يلي ليس من المعرفة الشائعة بين عامة المجتمع والجمهور، ولكن عندما تم الاستيلاء على RaidForums وإطلاق BreachForums بعد ذلك بوقت قصير، كان pompompurin مجرد واجهة. لقد خططنا جميعا بعناية لإطلاق BreachForums منذ اليوم الأول، ومنذ ذلك الحين، ساءت الأمور تمامًا بسبب ظروف ومواقف غير متوقعة. مما دفعني إلى الظهور علنًا في عام 2023 وامتلاك المنتدى مع Baphomet، مرة أخرى، أدت ظروف غير متوقعة إلى الاستيلاء مرة أخرى في عام 2024. الآن نحن هنا. منذ البداية، لم يأتِ أي شيء جيد من هذا. BreachForums لن يعود أبدًا، وإذا عاد، فيجب اعتباره على الفور مصيدة عسل.
ليس هناك الكثير ليقال عن هذه المصادرة، ولكن هناك شيء واحد يجب ملاحظته وهو أن الإجراء الأخير الذي اتخذته حكومة الولايات المتحدة ضدنا ليس له أي تأثير على حملات Salesforce الخاصة بنا. إن حقيقة أن خدمة DLS الخاصة بنا كانت مستضافة أيضا على نطاق BreachForums على الشبكة العادية، ولأننا خططنا لإعادة فتح المنتدى لتسريب بيانات الشركات التي لم تمتثل لنا عند حلول الموعد النهائي على BreachForums الذي أعيد فتحه، كان على الأرجح سبب مصادرة اليوم.
حان وقت المضي قدما، ترقبوا الساعة 11:59 مساءً بتوقيت نيويورك في 10/10/2025!
استفسارات وسائل الإعلام: shinycorp@tutanota.com، shinygroup@onionmail.com
ShinyHunters / فريق إدارة BreachForums –يبدأ توقيع PGP—–
iQIZBAEBCgAdFiEEH8TQsd7pFLsFtX+r8fG5ilHJibMFAmjoZKcACgkQ8fG5ilHJ ibM7KxAArFuEeNT04QTTdNSJvkwY5f+hmQv6ktPLxGvH2x1pznMf1PVmDH+spvQQ 13xeX/MKB6qr1ChECCvar/6Y70GIu7PX/iz8EkaTHFmPf0Lqv8nKWdhRxnPINFIY OHBLboL/rhX/iLEZA4QBZU2mncNhsR+hdnDJx4x1nVq4J11wR62mRCBVjh+akPeM jtEdLHfUSJm84z0wR07M6Xpn3Qeo/FWbDYq9B477Yun/MAkzkQXzBSZyUlcdvuvb 5kg+W8xPW0EuJwQRcZWIbaVWf4q7x217ta0YPvkqKLnf8AG054WGfICxGAtpsLOA Kot0aJI7p/ofF5IirYVlQ05ZA/xmeiwSc4C0FLX7YtpKVSueseLcVuU8hIKTALAY DZ7faXg59+ZzLVHr9wwhDxB18AYx8RCXiQTKqdbC+AYZ27L6G0QTuo7XEBanAC9z qxmwRukRljwYtDl5PwSfUVgcjl6ueq/mT0KrXVd5RtmHRgit3yq/Yy9z0FeSCX8m NemDoVIf/6BzLc+xTQqAQ0i+BGXYsx6VzmE0AeWAsLC1p0vymau5zxuFWDuCazb4 t0S4wnL++2xsgpse/g9VkyNzcNAlFTxiqunWrfqIt7NhYGDN17N/yeD+0UQTdsAy Z53C9JaNVDL8aWHvctA3m9Ed8yd12sYH9kXY3kh6Nt4HFWnBP0A= =YyrQ
نهاية توقيع PGP—–
المصادر
تقرير شركة SOCRadar عن تحييد منتديات المجموعة المقرصنة https://socradar.io/breachforums-seized-yes-again
تقرير شركة فالكون فييد عن المجموعة المقرصنة https://falconfeeds.io/reports/scattered-lapsus-hunters-slsh-cyber-threat-report-october-2025
