قراصنة APT35 الإيرانيون يستهدفون خبراء التقنية الإسرائيليين بهجمات تصيّد مدعومة بالذكاء الاصطناعي

قراصنة APT35 الإيرانيون يستهدفون خبراء التقنية الإسرائيليين بهجمات تصيّد مدعومة بالذكاء الاصطناعي
قراصنة APT35 الإيرانيون يستهدفون خبراء التقنية الإسرائيليين بهجمات تصيّد مدعومة بالذكاء الاصطناعي
شارك هذا الخبر

كشفت شركة Check Point للأمن السيبراني أن مجموعة قرصنة إيرانية مدعومة من الدولة ومرتبطة بـالحرس الثوري الإيراني (IRGC) تقف وراء حملة تصيّد موجه (Spear-phishing) استهدفت صحفيين، وخبراء أمن سيبراني رفيعي المستوى، وأساتذة علوم حاسوب في إسرائيل.

وأوضحت الشركة في تقريرها الصادر يوم الأربعاء أن المهاجمين تنكروا على أنهم مساعدون وهميون لمديرين تنفيذيين في شركات تقنية أو باحثين أكاديميين، وتواصلوا مع الضحايا عبر رسائل بريد إلكتروني وتطبيق واتساب.

“وجّه القراصنة الضحايا الذين تفاعلوا معهم إلى صفحات تسجيل دخول وهمية لخدمة Gmail أو دعوات مزيفة لاجتماعات عبر Google Meet”، بحسب التقرير.

المجموعة المسؤولة: Educated Manticore (APT35)

نسبت Check Point هذه الأنشطة إلى مجموعة تهديد تُعرف باسم Educated Manticore، وهي تتداخل مع العديد من التكتلات المعروفة مثل:

  • APT35 (ومجموعة فرعية منها تُعرف بـ APT42)

  • Charming Kitten

  • Mint Sandstorm (المعروفة سابقًا باسم Phosphorus)

  • TA453

  • Yellow Garuda

  • Cobalt Illusion وغيرها

تتمتع هذه المجموعة بتاريخ طويل في استخدام الهندسة الاجتماعية لاستدراج الضحايا، وقد سبق لها أن استهدفتهم عبر منصات مثل فيسبوك ولينكدإن مستخدمة هويات مزيفة لجعلهم يثبتون برمجيات خبيثة على أجهزتهم.

موجة جديدة من الهجمات منذ يونيو 2025

رصدت Check Point موجة جديدة من الهجمات بدأت منتصف يونيو 2025، بالتزامن مع اندلاع الحرب بين إيران وإسرائيل، استهدفت أفرادًا إسرائيليين عبر رسائل مصممة بدقة على البريد الإلكتروني والواتساب.

وترجّح الشركة أن هذه الرسائل صيغت باستخدام أدوات الذكاء الاصطناعي، نظرًا لتنظيمها المتقن وخلوّها من الأخطاء اللغوية.

إحدى الرسائل عبر واتساب استغلت التوترات الجيوسياسية الحالية لإقناع الضحية بالمشاركة في اجتماع، مدعية أن هناك حاجة لمساعدته في نظام ذكاء اصطناعي لرصد التهديدات السيبرانية المتزايدة منذ 12 يونيو.

تكتيكات خداع متطورة

في البداية، لا تحتوي الرسائل على أي روابط خبيثة، بل تهدف فقط إلى كسب ثقة الضحية. وبعد إنشاء علاقة أولية، يرسل المهاجمون روابط لصفحات تصيّد مخصصة تهدف إلى سرقة بيانات تسجيل الدخول لحسابات Google.

“قبل إرسال رابط التصيّد، يطلب المهاجم عنوان البريد الإلكتروني من الضحية، ويُستخدم هذا العنوان لملء الحقل تلقائيًا في صفحة تسجيل الدخول المزيفة، مما يعزز المصداقية”، حسب التقرير.

تستخدم مجموعة التصيّد المخصصة تقنيات حديثة مثل:

  • تطبيقات أحادية الصفحة (SPA) مبنية بـ React

  • الاتصال المباشر عبر WebSocket لنقل البيانات المسروقة

  • إخفاء الكود البرمجي لتجنّب التحليل

سرقة كلمات المرور ورموز المصادقة الثنائية

تتمكن الصفحة المزيفة من سرقة بيانات الدخول ورموز المصادقة الثنائية (2FA)، مما يسمح بشن هجمات ترحيل المصادقة (2FA Relay Attacks). كما أنها تحتوي على أداة تسجيل ضغطات المفاتيح (Keylogger) تسجّل كل ما يكتبه المستخدم، حتى لو لم يُكمل عملية تسجيل الدخول.

استغلال Google Sites في حملات التصيّد

رُصد أيضًا استخدام نطاقات من خدمة Google Sites لاستضافة صفحات Google Meet وهمية، حيث تحتوي على صورة مقلدة لواجهة الاجتماع، وعند النقر على أي مكان فيها يتم توجيه الضحية إلى صفحات تصيّد متقدمة.

تقييم التهديد: خطر متصاعد ومُستمر

أوضحت Check Point أن:

Educated Manticore ما تزال تمثل تهديدًا دائمًا وعالي الخطورة، خصوصًا ضد الأفراد في إسرائيل خلال تصاعد النزاع مع إيران.”

وأضافت أن المجموعة:

  • تستخدم تصيّدًا موجهًا عدوانيًا

  • تنشئ بنية تحتية بسرعة عالية (نطاقات فرعية وخوادم)

  • وتقوم بـ إزالة البنية فور اكتشافها لتجنب التتبع

وسوم
محمد وهبى
محمد وهبى
المقالات: 313

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة