- بواسطة x32x01 ||
شخص اخترق شركات… جامعات… جهات حكومية… وباع بيانات آلاف الناس.
استخدم VPNs و Dark Web Forums و Session وعاش دور الـ Ghost Hacker كامل 😶🌫️
لكن فى الآخر؟ كل اللى بناه وقع بسبب: Git Commit قديم
و Password كان رقم موبايله الحقيقي!
القصة دى تعتبر واحد من أقوى دروس OSINT و Threat Intelligence و OPSEC Failure اللى ممكن تشوفها فى 2026.
شخص مرتبط بمجموعة اسمها: INT3X
والجروب بدأ يعلن عن اختراقات متتالية ضد جهات مصرية مختلفة.
الكلام كان عن:
بيع بيانات… نشر Leaks… استعراض اختراقات… وثقة كاملة كأنه شخص مستحيل حد يوصله 😎
الكلام كان عن أكتر من: 104 ألف Record
من أنظمة:
وبعدها مشاركة فى عمليات مرتبطة بهيئة الطرق والكبارى وسحب بيانات من Contract Systems.
لكن الضربة الأضخم كانت لسه جاية…
الإدعاءات كانت بتتكلم عن: 10GB Internal Data
وحوالي: 989 ألف Student Record
البيانات المزعوم وجودها تضمنت:
فى اللحظة دى ناس كتير بدأت تعتبر المجموعة: Advanced Threat Actors ناس فاهمة OPSEC صح.
ناس محدش يقدر يوصلها.
لكن الحقيقة كانت مختلفة تمامًا 👀
الخطوة الأولى كانت:
السؤال كان بسيط: هل نفس الـ Username مستخدم فى أماكن تانية؟
هل فيه Variations؟
هل الشخص بيكرر نفس الـ Alias على Platforms مختلفة؟
وبالفعل… بدأت تظهر آثار رقمية صغيرة.
حتى منتديات المجرمين نفسها بتتقـرصن أحيانًا 😅
ولما ده بيحصل…
بيانات المستخدمين بتتسرب زى أى منصة عادية.
أغلب الـ IPs كانت جاية من:
وهنا بدأت أول خيوط الحقيقة.
الاسم اتكتب بالشكل ده:
مجرد استبدال حرف S بعلامة Dollar.
تفصيلة شكلها عادية… لكنها كانت بداية الانهيار.
ليه؟
لأن نفس الـ Variation ظهر على:
نفس الصورة.
نفس طريقة الكتابة.
نفس الـ Bio edgy المعتادة 😶
وهنا بدأت المعلومات تتفتح واحدة واحدة.
الـ History كان مليان تفاصيل شخصية:
إن الحساب كان بيستخدمه فى: Recruitment لأعضاء INT3X
يعنى الشخص كان بيجمع أعضاء الفريق من نفس الحساب اللى سايب عليه آثار رقمية ضخمة.
بدأوا يجربوا Variations مختلفة من الـ Username:
وهنا بدأ السقوط الحقيقي.
بعد مراجعة Git Commits لقوا: Commit قديم من 2023
وجواه Metadata حقيقية.
الـ Git بيخزن تلقائيًا معلومات زى:
وبيحتفظ ببيانات مهمة منها:
غلطة واحدة بس فى إعدادات Git… ممكن توقع سنين من الـ OPSEC.
والأسوأ؟
Repository تانية كانت فيها بيانات تعريف حقيقية جوه ملفات المشروع نفسها.
الـ Email ظهر فى بيانات متسربة مرتبطة بـ Infostealer Logs.
والمفاجأة كانت صادمة…
الـ Password المستخدم كان: رقم موبايله الحقيقي
بل وأجزاء من الرقم ظهرت متوافقة مع حسابات تانية مرتبطة بنفس الـ Alias.
وده مثال قوى جدًا على:
يعنى أكتر من طريق مختلف بيوصل لنفس النتيجة.
عنوان.
رقم هاتف.
ارتباطات مختلفة.
ولما اتعمل OSINT على الرقم…
بدأت تظهر أسماء محفوظ بيها الرقم عبر خدمات Caller ID Aggregation.
وده بيحصل لأن منصات كتير بتعتمد على: Contact Aggregation
يعنى لو ناس كتير حفظت رقمك بنفس الاسم…
اسمك يبدأ يبقى قابل للبحث.
مكتوب فيه:
بعدها وصلوا لـ LinkedIn Profile.
وهنا كانت الضربة النهائية.
الملف احتوى على:
آخر Post كان فيه نفس GitHub Repository اللى كانت سبب كشف الهوية من البداية 😶
يعنى الشخص بنفسه عمل Confirmation للربط بين: GitHub ⬅️ الهوية الحقيقية.
تم التواصل معاه على أساس إنهم Clients عاديين. وخلال الكلام…
بدأ بنفسه يشارك معلومات.
Session ID.
Discord Access.
معلومات عن الفريق.
بل وحتى تعريفه لنفسه كـ: Founder لـ INT3X
وفى لحظة Screen Share…
كشف:
فقط باستخدام:
لكن الحقيقة مختلفة.
طول ما أنت Consistent… أنت بتسيب أجزاء منك فى كل مكان.
طريقة كلامك.
الـ Username.
الكتابة.
الـ Bios.
الـ Git Commits.
الـ Passwords.
الـ Timing.
الـ Contacts.
كلها Artifacts صغيرة جدًا…
لكن لما تتحط جنب بعض؟ بتتحول لهوية كاملة.
وده واحد من أهم دروس:
Technical Skills بدون OPSEC = Exposure مؤجل. 🔥
استخدم VPNs و Dark Web Forums و Session وعاش دور الـ Ghost Hacker كامل 😶🌫️
لكن فى الآخر؟ كل اللى بناه وقع بسبب: Git Commit قديم
و Password كان رقم موبايله الحقيقي!
القصة دى تعتبر واحد من أقوى دروس OSINT و Threat Intelligence و OPSEC Failure اللى ممكن تشوفها فى 2026.
بداية ظهور اسم Quellostanco فى عالم الهجمات الإلكترونية
فى بداية 2026 بدأ اسم معين يظهر بقوة:Quellostancoشخص مرتبط بمجموعة اسمها: INT3X
والجروب بدأ يعلن عن اختراقات متتالية ضد جهات مصرية مختلفة.
الكلام كان عن:
- شركات كبيرة
- جامعات
- جهات حكومية
- Payment Gateways
- عمليات Defacement
- بيع Databases وتسريبات ضخمة
بيع بيانات… نشر Leaks… استعراض اختراقات… وثقة كاملة كأنه شخص مستحيل حد يوصله 😎
تسريبات EgyptAir والضجة الكبيرة ✈️
فى فبراير ظهر إعلان عن بيع Database مرتبطة بـ EgyptAir.الكلام كان عن أكتر من: 104 ألف Record
من أنظمة:
- HR Systems
- Recruitment Platforms
- بيانات موظفين
- CVs
- Phone Numbers
- Internal Documents
- Credentials
وبعدها مشاركة فى عمليات مرتبطة بهيئة الطرق والكبارى وسحب بيانات من Contract Systems.
لكن الضربة الأضخم كانت لسه جاية…
اختراق الجامعات المصرية وملفات ضخمة جدًا 🎯
واحدة من أكتر الأحداث اللى خدت ضجة كانت الكلام عن بيانات تخص جامعة المنصورة.الإدعاءات كانت بتتكلم عن: 10GB Internal Data
وحوالي: 989 ألف Student Record
البيانات المزعوم وجودها تضمنت:
- صور طلاب
- Research Material
- Internal Documents
- بيانات ممتدة من 2012 لـ 2026
فى اللحظة دى ناس كتير بدأت تعتبر المجموعة: Advanced Threat Actors ناس فاهمة OPSEC صح.
ناس محدش يقدر يوصلها.
لكن الحقيقة كانت مختلفة تمامًا 👀
البداية كانت Username واحد بس!
أحيانًا أقوى تحقيقات الأمن السيبرانى بتبدأ من أبسط حاجة ممكن تتخيلها.الخطوة الأولى كانت:
Username Correlationالسؤال كان بسيط: هل نفس الـ Username مستخدم فى أماكن تانية؟
هل فيه Variations؟
هل الشخص بيكرر نفس الـ Alias على Platforms مختلفة؟
وبالفعل… بدأت تظهر آثار رقمية صغيرة.
Dark Web Forums نفسها ساعدت فى كشفه 🌑
الباحثين لقوا نفس الاسم موجود فى:- Dark Web Forums
- Platforms مختلفة
- بيانات متسربة من اختراقات قديمة
حتى منتديات المجرمين نفسها بتتقـرصن أحيانًا 😅
ولما ده بيحصل…
بيانات المستخدمين بتتسرب زى أى منصة عادية.
أغلب الـ IPs كانت جاية من:
- VPN Services
- Anonymous Infrastructure
وهنا بدأت أول خيوط الحقيقة.
أول غلطة قاتلة: تغيير بسيط فى Username 😬
فى واحدة من عمليات الـ Defacement حصل تفصيلة صغيرة جدًا.الاسم اتكتب بالشكل ده:
Quello$tancoمجرد استبدال حرف S بعلامة Dollar.
تفصيلة شكلها عادية… لكنها كانت بداية الانهيار.
ليه؟
لأن نفس الـ Variation ظهر على:
- HackerOne Account
- Bugcrowd Account
نفس الصورة.
نفس طريقة الكتابة.
نفس الـ Bio edgy المعتادة 😶
Reddit كشف Digital Footprint ضخم 👀
من الربط بين الحسابات وصلوا لـ Reddit Account.وهنا بدأت المعلومات تتفتح واحدة واحدة.
الـ History كان مليان تفاصيل شخصية:
- كلام عن Vulnerability اكتشفها
- رأيه فى Cyber Security Scene
- هجوم على فكرة Fame بدون Skills
- تحديات و Puzzles للمجتمع
إن الحساب كان بيستخدمه فى: Recruitment لأعضاء INT3X
يعنى الشخص كان بيجمع أعضاء الفريق من نفس الحساب اللى سايب عليه آثار رقمية ضخمة.
GitHub… النقطة اللى قلبت التحقيق كله 💀
بعدها دخل التحقيق على أخطر مرحلة. GitHub Analysisبدأوا يجربوا Variations مختلفة من الـ Username:
- underscores
- dots
- hyphens
وهنا بدأ السقوط الحقيقي.
بعد مراجعة Git Commits لقوا: Commit قديم من 2023
وجواه Metadata حقيقية.
الـ Git بيخزن تلقائيًا معلومات زى:
Bash:
git config --list Code:
Username
Email
Timestampوالأسوأ؟
Repository تانية كانت فيها بيانات تعريف حقيقية جوه ملفات المشروع نفسها.
Metadata Analysis قدرت تكشف الهوية 🧠
بعد الحصول على:- اسم حقيقي
Breach Dataset Correlationالـ Email ظهر فى بيانات متسربة مرتبطة بـ Infostealer Logs.
والمفاجأة كانت صادمة…
الـ Password المستخدم كان: رقم موبايله الحقيقي
بل وأجزاء من الرقم ظهرت متوافقة مع حسابات تانية مرتبطة بنفس الـ Alias.
وده مثال قوى جدًا على:
Independent Verification Pathsيعنى أكتر من طريق مختلف بيوصل لنفس النتيجة.
OSINT على رقم الموبايل فتح أبواب جديدة 📱
بعد تحليل الـ Logs ظهرت بيانات إضافية.عنوان.
رقم هاتف.
ارتباطات مختلفة.
ولما اتعمل OSINT على الرقم…
بدأت تظهر أسماء محفوظ بيها الرقم عبر خدمات Caller ID Aggregation.
وده بيحصل لأن منصات كتير بتعتمد على: Contact Aggregation
يعنى لو ناس كتير حفظت رقمك بنفس الاسم…
اسمك يبدأ يبقى قابل للبحث.
من Upwork لـ LinkedIn… كل حاجة بدأت تتوصل ببعضها 🔗
بعدها ظهر: Upwork Profile بنفس الـ Email.مكتوب فيه:
- Linux System Administrator
- Security Specialist
بعدها وصلوا لـ LinkedIn Profile.
وهنا كانت الضربة النهائية.
الملف احتوى على:
- صورته
- بياناته
- معلوماته المهنية
آخر Post كان فيه نفس GitHub Repository اللى كانت سبب كشف الهوية من البداية 😶
يعنى الشخص بنفسه عمل Confirmation للربط بين: GitHub ⬅️ الهوية الحقيقية.
أكبر خطأ بشرى: كشف كل حاجة بنفسه 🎭
القصة موقفتش هنا.تم التواصل معاه على أساس إنهم Clients عاديين. وخلال الكلام…
بدأ بنفسه يشارك معلومات.
Session ID.
Discord Access.
معلومات عن الفريق.
بل وحتى تعريفه لنفسه كـ: Founder لـ INT3X
وفى لحظة Screen Share…
كشف:
- Discord Servers
- Channels
- Users
- Infrastructure كاملة
فقط باستخدام:
✅ OSINT
✅ Metadata Analysis
✅ Correlation
✅ Human Errors
✅ Metadata Analysis
✅ Correlation
✅ Human Errors
أهم درس فى Cyber Security: الإنسان هو أضعف نقطة ضعف ⚠️
ناس كتير فاكرة إن Anonymity معناها:- VPN
- Tor
- Session IDs
- Encrypted Chats
لكن الحقيقة مختلفة.
طول ما أنت Consistent… أنت بتسيب أجزاء منك فى كل مكان.
طريقة كلامك.
الـ Username.
الكتابة.
الـ Bios.
الـ Git Commits.
الـ Passwords.
الـ Timing.
الـ Contacts.
كلها Artifacts صغيرة جدًا…
لكن لما تتحط جنب بعض؟ بتتحول لهوية كاملة.
وده واحد من أهم دروس:
- OSINT
- Threat Intelligence
- Digital Attribution
- OPSEC Failure Analysis
Technical Skills بدون OPSEC = Exposure مؤجل. 🔥