كشفت أبحاث مشتركة من Broadcom’s Symantec وفريق Carbon Black Threat Hunter عن أدلة على نشاط مجموعة MuddyWater (المعروفة أيضاً باسم Seedworm)، المرتبطة بوزارة الاستخبارات والأمن الإيرانية (MOIS). الحملة بدأت في فبراير 2026 واستهدفت شبكات شركات أميركية، بينها بنوك ومطارات ومنظمات غير ربحية، إضافة إلى فرع إسرائيلي لشركة برمجيات تعمل في مجالات الدفاع والطيران.
برمجيات خبيثة جديدة
الهجمات مهدت الطريق لبرمجية خلفية جديدة باسم Dindoor، تعتمد على بيئة تشغيل Deno JavaScript. كما رُصدت محاولات لاستخراج بيانات باستخدام أداة Rclone إلى تخزين سحابي عبر Wasabi.
في شبكات أخرى، مثل مطار أميركي ومنظمة غير ربحية، ظهر باب خلفي إضافي مكتوب بلغة Python باسم Fakeset، تم تنزيله من خوادم تابعة لشركة Backblaze. الشهادة الرقمية المستخدمة لتوقيع Fakeset سبق استخدامها لتوقيع برمجيات مرتبطة بـ MuddyWater مثل Stagecomp وDarkcomp.
تكتيكات وأساليب متطورة
التقارير تشير إلى أن المهاجمين الإيرانيين أصبحوا أكثر تطوراً في السنوات الأخيرة، سواء في أدواتهم أو في قدراتهم على الهندسة الاجتماعية، بما في ذلك حملات التصيد الموجه (spear-phishing) وعمليات “Honeytrap” لبناء علاقات مع أهداف حساسة.
كما أن نشاطهم يتزامن مع تصاعد الصراع العسكري في الشرق الأوسط، حيث رُصدت حملات إضافية من مجموعات إيرانية مثل Agrius وOilRig وCharming Kitten، استهدفت كاميرات Hikvision وDahua عبر ثغرات معروفة مثل CVE-2017-7921 وCVE-2023-6895، بهدف دعم العمليات العسكرية وتقييم الأضرار.
السياق الجيوسياسي
التصعيد العسكري بين إيران والولايات المتحدة وإسرائيل انعكس مباشرةً في الفضاء السيبراني:
- تقارير تحدثت عن اختراق إسرائيلي لشبكة كاميرات المرور في طهران لمراقبة تحركات الحرس الثوري.
- استهداف مركز بيانات أمازون في البحرين من قبل الحرس الثوري الإيراني.
- حملات Wiper ضد قطاعات الطاقة والمال والحكومة في إسرائيل.
- عمليات مشتركة بين مجموعات موالية لإيران وروسيا مثل Handala Hack وNoName057(16) ضد أنظمة التحكم الصناعي في الخليج.
هذه التطورات تؤكد أن إيران تستخدم قدراتها السيبرانية كأداة استراتيجية للردع والتأثير، مع تركيز على سرقة بيانات الاعتماد، التصيد، والهجمات المتكررة على البنى التحتية الحيوية.
