كشفت شركة الأمن السيبراني الفرنسية HarfangLab في يناير 2026 عن حملة تجسس إلكتروني جديدة أُطلق عليها اسم RedKitten، يقف وراءها فاعل تهديد ناطق بالفارسية يُعتقد أنه مرتبط بمصالح الدولة الإيرانية. الحملة جاءت متزامنة مع موجة الاضطرابات التي شهدتها إيران أواخر عام 2025، احتجاجاً على التضخم المتصاعد وارتفاع أسعار الغذاء وتدهور العملة، وما تبع ذلك من قمع واسع النطاق أدى إلى سقوط ضحايا كُثر وانقطاع الإنترنت. الهدف الأساسي لهذه الحملة كان استهداف منظمات غير حكومية ونشطاء يعملون على توثيق انتهاكات حقوق الإنسان.
أدوات الهجوم وتقنيات الاختراق
اعتمدت الحملة على مزيج من البنية التحتية الشائعة مثل GitHub وGoogle Drive للحصول على التهيئة والحمولات البرمجية، إضافة إلى استخدام Telegram كقناة للتحكم والسيطرة. اللافت أن المهاجمين استعانوا على الأرجح بنماذج لغوية كبيرة (LLMs) لتوليد التعليمات البرمجية اللازمة، حيث بدأت الهجمات بملفات مضغوطة تحمل أسماء فارسية وتحتوي على مستندات Excel مزودة بماكرو خبيث. هذه الملفات ادعت أنها تضم بيانات عن متظاهرين قُتلوا في طهران بين ديسمبر 2025 ويناير 2026، لكنها في الحقيقة كانت مصممة لنشر برمجية خبيثة عبر تقنية AppDomainManager injection.
البرمجية الخلفية التي أطلق عليها اسم SloppyMIO استخدمت أسلوباً متقدماً يقوم على إخفاء بيانات التهيئة داخل صور مخزنة على Google Drive، ليتم استخراجها عبر تقنيات steganography. تضمنت هذه البيانات رموز بوت Telegram ومعرفات المحادثة وروابط تحميل وحدات إضافية. وقد دعمت البرمجية خمسة وحدات رئيسية، منها تنفيذ أوامر عبر “cmd.exe”، جمع الملفات وإرسالها مضغوطة، إنشاء مهام مجدولة لضمان الاستمرارية، ورفع ملفات مشفرة عبر واجهة Telegram.
استغلال المشاعر واستهداف المجتمعات
الحملة استغلت حاجة النشطاء والضحايا للحصول على معلومات عن المفقودين، لتزرع شعوراً زائفاً بالعجلة وتدفعهم إلى فتح الملفات الخبيثة. تحليل البيانات داخل الجداول أظهر تناقضات في الأعمار وتواريخ الميلاد، ما يؤكد أنها مفبركة. كما أن المهاجمين وسّعوا نطاق الاستهداف ليشمل شركات العملات الرقمية، في محاولة لتحقيق مكاسب مالية إضافية.
في سياق متصل، كشف الناشط الإيراني المقيم في بريطانيا نريمان غريب عن حملة تصيّد عبر رابط مزيف على واتساب، يعرض صفحة دخول وهمية لـ WhatsApp Web، تمكن المهاجمين من الاستيلاء على حسابات الضحايا بالكامل. الصفحة كانت تطلب أيضاً صلاحيات للوصول إلى الكاميرا والميكروفون والموقع الجغرافي، ما يحولها إلى أداة مراقبة شاملة. كما أظهرت التحقيقات أن الحملة استهدفت أيضاً حسابات Gmail عبر صفحات دخول مزيفة، وتمكنت من سرقة كلمات المرور وأكواد المصادقة الثنائية، وأثرت على نحو 50 شخصاً بينهم أكاديميون ومسؤولون حكوميون ورجال أعمال من المجتمع الكردي.
سياق أوسع للتجسس السيبراني الإيراني
تأتي هذه التطورات بعد تسريبات كبيرة تعرضت لها مجموعة Charming Kitten الإيرانية، كشفت عن بنيتها الداخلية وأدواتها، بما في ذلك منصة مراقبة تُعرف باسم Kashef، تُستخدم لتتبع المواطنين الإيرانيين والأجانب عبر بيانات مجمعة من جهات متعددة مرتبطة بالحرس الثوري الإيراني. كما أظهرت التسريبات دور أكاديمية Ravin Academy التي أسسها عناصر من وزارة الاستخبارات والأمن الإيرانية، لتدريب مئات الأفراد على تقنيات متقدمة في الأمن السيبراني والهجمات الرقمية، وهو ما يوضح استراتيجية إيران في بناء قدراتها البشرية عبر مؤسسات ظاهرها أكاديمي وباطنها أمني.
