كشفت فرق الأمن السيبراني في Symantec وCarbon Black عن حملة تجسّس جديدة مرتبطة بمجموعة القرصنة الإيرانية المعروفة باسم MuddyWater، استهدفت تسع مؤسسات في تسع دول عبر أربع قارات خلال الربع الأول من عام 2026. الحملة ركّزت على قطاعات الصناعة والإلكترونيات، التعليم والقطاع العام، الخدمات المالية، والخدمات المهنية، ومن أبرز الضحايا شركة كورية جنوبية كبرى في مجال الإلكترونيات، حيث بقي المهاجمون داخل شبكتها لمدة أسبوع كامل في فبراير 2026.
تقنية DLL Side-Loading كأداة رئيسية
اعتمدت المجموعة بشكل مكثف على تقنية DLL Side-Loading، حيث استغلت ملفات تنفيذية موقّعة شرعياً مثل:
- fmapp.exe المرتبط بمنتجات Fortemedia لتحميل DLL خبيث باسم fmapp.dll.
- sentinelmemoryscanner.exe المرتبط بمنتجات SentinelOne لتحميل DLL خبيث باسم sentinelagentcore.dll.
هذه الملفات الخبيثة تضمنت أداة مفتوحة المصدر تُعرف باسم ChromElevator، والتي تُستخدم لسرقة كلمات المرور وملفات تعريف الارتباط وبيانات بطاقات الدفع من المتصفحات المبنية على Chromium، متجاوزة بذلك آليات حماية App-Bound Encryption (ABE).
أدوات إضافية وأساليب متقدمة
إلى جانب DLL Side-Loading، استخدم المهاجمون سكربتات Node.js لتشغيل أوامر PowerShell مسؤولة عن الاستطلاع وجمع المعلومات، بما في ذلك التقاط صور للشاشة، سرقة ملفات SAM، تصعيد الامتيازات، وإنشاء نفق SOCKS5 للاتصال العكسي. في بعض الحالات، تم تخزين البيانات المسروقة على خدمة عامة لنقل الملفات مثل sendit[.]sh.
كما لجأ المهاجمون إلى إعادة تشغيل الملفات التنفيذية بشكل متكرر لضمان استمرار الوصول إلى الأجهزة المصابة، وهو ما يعكس نهجاً أكثر هدوءاً وانضباطاً مقارنة بالعمليات السابقة للمجموعة.
السياق الجيوسياسي والعقوبات
تزامن الكشف عن هذه الحملة مع فرض المجلس الأوروبي عقوبات على شركة إيرانية تُدعى Emennet Pasargad (المعروفة أيضاً باسم Shahid Shushtari)، المرتبطة بـ قيادة الحرب الإلكترونية التابعة للحرس الثوري الإيراني (IRGC-CEC)، بسبب تورطها في هجمات سيبرانية ضد خدمات الاتصالات في أوروبا ونشر معلومات مضللة خلال أولمبياد باريس 2024.
كما ربطت تقارير أمنية حديثة هذه الأنشطة بوزارة الاستخبارات والأمن الإيرانية (MOIS)، التي يُعتقد أنها تقف وراء عمليات تسريب بيانات وهجمات تخريبية ضد مؤسسات في الولايات المتحدة وإسرائيل والسعودية وتركيا.
أدوات مخصّصة لجمع البيانات
في بعض الهجمات، استخدم المهاجمون أداة داخلية تُعرف باسم FileFiend مكتوبة بلغة C++، قادرة على استعراض الأقراص المحلية ومشاركات SMB، وجمع الملفات وإرسالها إلى خوادم تحكم وسيطرة (C2). في حالات أخرى، تم ضغط البيانات في أرشيفات RAR ورفعها إلى مواقع عامة تابعة للضحايا، ليتم استخراجها لاحقاً عبر أدوات مثل Axel وproxychains.
