كشفت شركة “إيسيت” للأمن السيبراني عن حملة إلكترونية جديدة تنفذها مجموعة قرصنة تُعرف باسم “BladedFeline”، والتي يُعتقد ارتباطها بإيران. تستهدف هذه المجموعة مسؤولين حكوميين في العراق وإقليم كردستان باستخدام برمجيات خبيثة متطورة مثل “ويسبر” (Whisper) و“سبيرال” (Spearal).
الضحايا والأهداف
-
مسؤولون حكوميون عراقيون ودبلوماسيون تابعون لحكومة إقليم كردستان (KRG).
-
مزود خدمة اتصالات في أوزبكستان (مخترق منذ مايو 2022).
-
جهات حكومية في أذربيجان.
الأدوات المستخدمة
-
ويسبر (Whisper):
-
برمجية خبيثة تعمل عبر بريد إلكتروني مخترق على خادم “مايكروسوفت إكستشينج”.
-
تتواصل مع المهاجمين عبر مرفقات البريد الإلكتروني.
-
-
سبيرال (Spearal):
-
تستخدم تقنية نفق DNS للاتصال بخوادم التحكم.
-
-
أوبتيميزر (Optimizer):
-
نسخة مطورة من “سبيرال” بنفس الوظائف تقريبًا.
-
-
أدوات أخرى:
-
“شاهماران” (Shahmaran): بوابة خلفية بسيطة لتنفيذ الأوامر عن بُعد.
-
“PrimeCache”: وحدة خبيثة لخادم “IIS” تشبه برمجية “RDAT” المستخدمة من قبل مجموعة “أويلريج”.
-
الأساليب المتبعة
-
استغلال ثغرات في تطبيقات الإنترنت للوصول إلى الشبكات المستهدفة.
-
استخدام هندسة اجتماعية محتملة لاختراق الأنظمة.
-
نشر أبواب خلفية متعددة لضمان استمرارية الوصول.
الأهداف الاستراتيجية
-
جمع معلومات دبلوماسية ومالية حساسة من العراق وإقليم كردستان.
-
مراقبة النشاط الدبلوماسي الكردي مع الدول الغربية.
-
مواجهة النفوذ الغربي في العراق بعد الاحتلال الأمريكي.
العلاقة بمجموعات أخرى
-
يُشتبه بأن “BladedFeline” هي فرع من مجموعة “أويلريج” (OilRig) الإيرانية، لكنها تختلف عن مجموعة “ليسيوم” (Lyceum).
-
تم رصد أدوات مشتركة بين المجموعتين، مثل “RDAT” و“VideoSRV”.
