رصدت الوكالات السيبرانية حملة تجسس جديدة تقودها مجموعة APT42 الإيرانية المدعومة من الحرس الثوري الإيراني (IRGC)، تستهدف مسؤولين بارزين في الدفاع والحكومة، إلى جانب أفراد من عائلاتهم لتوسيع مساحة الهجوم وزيادة الضغط على الأهداف الأساسية. وتم اكتشاف الحملة، التي تحمل اسم SpearSpecter، في سبتمبر 2025 وما تزال نشطة حتى الآن، وفقًا لوكالة INDA الإسرائيلية.
وقد استخدم المهاجمون أساليب هندسة اجتماعية عالية الدقة، تضمنت دعوات شخصية لمؤتمرات دولية مرموقة أو ترتيب اجتماعات “حاسمة”، في تكتيك يرسّخ الثقة ويُخفي النوايا الهجومية. وتمتد جذور APT42 إلى مجموعات إيرانية معروفة مثل Charming Kitten وMint Sandstorm وغيرها، وبرزت بقدرتها على إدارة حملات إقناع مطوّلة تستمر لأسابيع قبل محاولة اختراق الضحية.
تكتيكات مرنة… واعتماد على الاختراق طويل الأمد
تبيّن أن حملة SpearSpecter تُدار من قبل أحد “عناقيد” APT42 المتخصصة في العمليات القائمة على البرامج الخبيثة، على خلاف حملة مشابهة رصدتها Check Point في يونيو 2025 التي نفذتها وحدة أخرى تركز على سرقة بيانات الاعتماد.
وتختلف الهجمة وفق قيمة الهدف: ففي بعض الحالات يُوجَّه الضحية إلى صفحات اجتماعات مزيفة لسرقة بيانات الدخول، بينما تؤدي سيناريوهات أخرى إلى نشر باب خلفي معروف باسم TAMECAT للحصول على وصول طويل الأمد.
وتستغل السلسلة الهجومية تطبيق واتساب باعتباره قناة ثقة، حيث ينتحل المهاجمون صفة جهة معروفة ويرسلون رابطًا لوثيقة مطلوبة لاجتماع مُرتقب. وعند النقر، يُعاد توجيه الضحية إلى ملف LNK مخزن عبر WebDAV يُقدَّم كملف PDF مستغلًا بروتوكول “search-ms:”.
ويعمل هذا الملف على تحميل سكربت Batch من نطاق تابع لـ Cloudflare Workers، ليكون بدوره مُحمّلًا لإطار TAMECAT الذي يستخدم وحدات متعددة لتنفيذ مهام الجاسوسية وجمع البيانات.
بنية C2 متعددة القنوات لضمان الاستمرارية
يعتمد TAMECAT على بنية قيادة وتحكم متعددة القنوات تشمل HTTPS وDiscord وTelegram، ما يمنح المهاجمين مرونة في الحفاظ على الوصول حتى في حال حظر إحدى القنوات.
وفي قناة Telegram، يتلقى الباب الخلفي أوامر من بوت خاضع لسيطرة المهاجمين، ثم يجلب تعليمات جديدة من نطاقات متعددة ضمن Cloudflare Workers. أما في Discord، فيُستخدم Webhook لإرسال معلومات النظام واستقبال الأوامر من قناة محددة مسبقًا.
وتشير تحليلات INDA إلى أن APT42 تعتمد منطق أوامر مخصصًا لكل جهاز مخترق عبر مستخدم معين داخل خادم Discord، ما يسمح بإدارة هجمات متعددة بشكل متزامن ضمن بيئة تشغيل واحدة.
ويشتمل TAMECAT على قدرات واسعة تشمل:
-
جمع الملفات حسب امتدادها
-
سرقة بيانات المتصفح (Chrome وEdge)
-
جمع صناديق بريد Outlook
-
التقاط لقطات شاشة كل 15 ثانية
ويجري تهريب البيانات عبر HTTPS أو FTP وفق طبيعة المهمة.
تقنيات مراوغة متقدمة وبنية هجومية عالية التخفي
تؤكد التحليلات أن SpearSpecter توظّف مستوى متقدّمًا من التخفي والرشاقة التشغيلية. فإطار TAMECAT يعتمد على:
-
تشفير الاتصالات والأوامر
-
إخفاء الشيفرة وتمويه البنية
-
استخدام أدوات النظام الشرعية (LOLBins) للتغطية على النشاط الخبيث
-
التشغيل داخل الذاكرة لتقليل الآثار على القرص
وتعتمد البنية الهجومية على مزيج من الخدمات السحابية الشرعية — مثل Cloudflare Workers وTelegram وDiscord — إلى جانب موارد يسيطر عليها المهاجمون، ما يؤدي إلى قنوات وصول أولي سلسة، واتصال C2 ثابت، وآليات تسريب بيانات يصعب اكتشافها.
