في صباح يوم 28 فبراير 2026، بدأت الطائرات الأمريكية والإسرائيلية الضربات التي ستعلن عن البدء الرسمي للصراع الذي يجتاح الشرق الأوسط الآن. بحلول الليل، كانت NetBlocks تبلغ عن اتصال الإنترنت الإيراني بنسبة أربعة بالمائة من المستوى الأساسي. بحلول 7 مارس، بعد تسعة أيام متتالية من شبه التعتيم، وصل العدد إلى واحد بالمائة. مائة وعشرون ساعة من السكون، كما وصفته أحد المنشورات المعروفة، قست في أجزاء من دولة. 

ومع ذلك، في الأيام السبعة التي تلت ذلك، ضرب الفاعلون المهددون المحاذون لإيران بنكاً أمريكياً، وشركة برمجيات في قطاع الدفاع مع عمليات في إسرائيل، ومطاراً أمريكياً، وشركتين للطاقة في الخليج، ووضعوا أبواب خلفية على عدة شبكات في كندا. كما استخرجوا ما يدعونه 1.3 تيرابايت من البيانات من شركة نفط. كانت بصمتهم مرئية عبر الفضاء الإلكتروني. وفي الواقع، كانت APT 34 تهاجم الشبكات في الهند والبرازيل والبحرين وكندا.  

لذلك يبرز السؤال. كيف تستطيع دولة بواحد بالمائة فقط من الاتصال بالإنترنت أن تنفذ هكذا هجوم؟ هل هذا نوع من الخداع؟ الجواب، كما اكتشفته وكالات الأمن السيبراني الوطنية هذا الأسبوع، وفرق استخبارات التهديد الحكومية، وباحثو Shieldworkz، والملاحظة الجنائية مفتوحة المصدر، يشير إلى مجموعة من الأقمار الصناعية المركونة على بعد 550 كيلومترًا فوق الأرض والتي حظرتها إيران في الوقت نفسه وجرمتها وجعلتها عرضة للتشويش واستغلتها بشكل هادئ عبر عملائها الاستخباراتيين.

قبل أن نتقدم، لا تنس الاطلاع على منشورنا السابق “بينما تتصاعد الصراعات العالمية، تتغير كتيبات لعب التهديد المتواصل المتقدم (APT) في هدوء“، هنا. 

إذن، هذا ما حدث.

اتصال واحد بالمائة ولا يزالون متصلين بالإنترنت

التعتيم الحالي للإنترنت في إيران هو في الواقع ثاني إغلاق شبه كامل في أقل من 60 يومًا. بدأ الأول في 8 يناير 2026، بسبب احتجاجات جماهيرية، وخفض الاتصال إلى حوالي ثلاثة بالمائة. حدث استعادة جزئية في فبراير، حيث تعافت حركة المرور إلى ما يقرب من خمسين بالمائة من الطبيعي بحلول منتصف الشهر قبل أن تنهار مرة أخرى في 28 فبراير بعد حملة الضربات المشتركة Epic Fury بين الولايات المتحدة وإسرائيل. منذ ذلك الحين، أبلغت NetBlocks عن الاتصال بشكل ثابت بنسبة أربعة بالمائة أو أقل، حيث أظهر القياس المنشور الأحدث في 7 مارس اتصالاً بنسبة واحد بالمائة فقط. 

لا يزال الشبكة الوطنية للمعلومات، وهو الإنترانت المحلي لإيران، يعمل بشكل جزئي ولكن للمؤسسات المُسموح بها فقط. كانت وسائل الإعلام الحكومية والوزارات الحكومية وقنوات الاتصالات المحاذية للحرس الثوري الإيراني من بين أولى الخدمات التي أعيدت تحت نظام القائمة البيضاء (في ترتيب أولويات محدد). وهذا يعني أن العملاء المخلصين للنظام، بما في ذلك متعاقدو الاستخبارات ووحدات السيبراني المعاقَبة، يمكنهم الوصول إلى الاتصال المحلي المُدار حتى عندما يتم قطع الإنترنت المدني. يتطلب وصولهم إلى الإنترنت العالمي شيئًا آخر وذاك قد نزل من السماء.

يقال إن 7,000 محطة ستارلينك تم جلبها إلى إيران خلال تعتيم يناير، وذلك حسب تقرير لصحيفة وول ستريت جورنال أكدته عدة منافذ تابعة لهم هذا الأسبوع. بالإضافة إلى تقديرات بحوالي 50,000 محطة تم تهريبها كانت موجودة بالفعل في إيران، خلقت الركيزة المادية لطبقة اتصالات موازية تُستخدم بواسطة شرائح تحتج ضد الحكومة الإيرانية. 

كان رد إيران بالتشويش مستمرًا وموثقًا. أظهرت بيانات التشويش على GPS التي تم تحليلها بواسطة Shieldworkz من gpsjam.org تلوثًا مستمرًا لنطاق GPS L1 MHz 1575.42 عبر منطقة طهران منذ 28 فبراير، بما يتماشى مع عمليات التشويش المتنقلة التي بدأت في يناير. تؤدي النتائج إلى تدهور الاتصال بستارلينك بدلاً من إظلام كامل. يستمر المستخدمون الذين لديهم وصول إلى سماء كاملة خارج نطاق أجهزة التشويش المتنقلة في تحقيق سرعة نافعة. النافذة المتبقية، الضيقة في المدن، الأوسع في المناطق الريفية وضواحي المدن، هي ما استخدمه الفاعلون المهددون. قد تكون بعض المحطات أيضًا قد تم الاستيلاء عليها بواسطة وكالات الاستخبارات الإيرانية واستخدمت لدعم عمليات الفاعلين المهددين. 

تسلسل الاتصال بالإنترنت الإيراني: من 28 فبراير إلى 10 مارس 2026

المصادر: NetBlocks عبر Mastodon؛ CNBC 7 مارس 2026؛ gpsjam.org؛ The National 

عمليات الأقمار الصناعية والتصعيد

أنشطة Handala Hack في الأيام السبعة الماضية تمثل تغييرًا نوعيًا من نمطها التشغيلي السابق. انتقل المجموعة، التي تم تقييمها بثقة عالية من قبل عدة وكالات حكومية غربية لتكون شخصية تديرها وزارة الاستخبارات والأمن الإيرانية، من عمليات القرصنة والتسريب في إسرائيل إلى عمليات متعددة النطاق تشمل جميع منطقة الخليج والولايات المتحدة وحتى الشتات الإيراني في أمريكا الشمالية.

استخدام ستارلينك كطبقة اتصال هو الأساس التشغيلي الذي يجعل كل ذلك ممكناً. كانت حملات Handala تُدار بالفعل من نطاقات IP لستارلينك، حيث قامت المجموعة بتحقيق في التطبيقات التي تواجه الخارج بحثًا عن تكوينات ضعيفة وبيانات اعتماد ضعيفة. استمر هذا النمط حتى مارس. 

كانت العملية الأكثر أهمية لـHandala في الأيام السبعة الماضية هي الخرق الذي تم ادعاؤه لشركة نفط في الإمارات. نشرت Handala الادعاء في 3 مارس (حين كانت الاتصال أقل من 4 بالمائة)، مؤكدين استخراج 1.3 تيرابايت من البيانات بما في ذلك البيانات المالية وعقود النفط والوثائق الداخلية. نشرت المجموعة على موقعها التسريب في الشبكة المظلمة وذكرت وأنا أقتبس 'قمنا بتفكيك البنية التحتية الحيوية (SIC) واستخرجنا 1.3 تيرابايت من البيانات الحساسة.' تتفق اللغة مع أسلوب الاتصال الأصلي للمجموعة، المصمم لتحقيق التأثير النفسي الأقصى على الحكومات الخليجية التي تعدها كمتعاونين عسكريين أمريكيين. لم تؤكد الشركة النفطية المتضررة أو تنكر بشكل علني الاختراق. لم يُثبت تحليل المادة النموذجية المُسربة، حيث تمكن الباحثون من فحصها، بعد ما إذا كانت البيانات جديدة أم موجودة من قبل، رغم أن الحجم المدعى عليه أكبر بكثير من البيانات المعاد تدويرها في ادعاء آخر تم خلال نفس الأسبوع، والذي صنفه الباحثون على أنه من المحتمل أن يكون ملفقًا أو مُضخّمًا بشكل كبير بملفات كانت تدور مسبقاً. هذه علامة واضحة على اليأس.

بشكل منفصل، أدرجت Handala أيضًا شركة نفط إسرائيلية كضحية للفدية، مع نفس الرقم المدعى عليه لاستخراج 1.3 تيرابايت الذي ظهر في كلا الإدراجين. يشكل تزامن الأرقام عبر منظمتين منفصلتين علامة تحذير لزيادة التضخم، وينبغي التعامل مع إجمالي الادعاء المجمع بالتشكك المناسب. ما لا شك فيه هو نمط الاستهداف: البنية التحتية للطاقة في الخليج وقطاع الطاقة الإسرائيلي، الفئتين الأكثر احتمالاً لتوليد الذعر الاستراتيجي والتضخيم الإعلامي.

Seedworm في الشبكات الأمريكية

الاكتشاف الأكثر أهمية في الأسبوع الماضي لم يأت من Handala بل من Seedworm، المجموعة الإيرانية للتهديد المتقدم الذي نسبت إليه وكالات الحكومة الأمريكية بما في ذلك CISA وFBI وNCSC البريطانية إلى وزارة الاستخبارات والأمن الإيرانية. كانت Seedworm جالسة داخل شبكات العديد من المنظمات الأمريكية منذ أوائل فبراير، أسابيع قبل الضربة الجوية الأولى. من المحتمل أن تكون Seedworm قد اخترقت الشبكات المتصلة مع دول أخرى أيضًا.

تشمل قائمة الضحايا المؤكدة بنكاً أمريكياً، ومطاراً أمريكياً، وشركة برمجيات أمريكية تزود الدفاع والصناعات الجوية ولها عمليات في إسرائيل، ومنظمات غير حكومية في كل من الولايات المتحدة وكندا. لا يعرف الباحثون كيفية وصول Seedworm إلى الدخول الأولي ولكن لا يمكن استبعاد مسار من الداخل في هذه المرحلة. تُعرف المجموعة باستخدام تقنيات مثل التصيد واستخدام نقاط الضعف في التطبيقات العامة، ولكن لم يتم تحديد ناقل الدخول الخاصة بهذه الحملة.

ما وجده الباحثون أيضًا مجموعة جديدة من الأدوات المستخدمة من قبل الفاعل المهاجم. الباب الخلفي الأساسي المسمى Dindoor، يستغل Deno، بيئة التشغيل الآمنة لجافا سكريبت وTypeScript المطورة كبديل حديث لـ Node.js، لتشغيل الأوامر على الأجهزة المصابة. الاختيار لـ Deno جدير بالملاحظة. إنها بيئة تشغيل حديثة نسبيًا مع بصمة أصغر للبحث الأمني مقارنة بسابقتها المباشرة، ويمكن لاتصالاتها الشبكية أن تمتزج مع حركة المطورين الشرعية في البيئات التي يُستخدم فيها Deno. كان Dindoor موقّعًا رقميًا بشهادة مُصدرة لشخص يدعى إيمي تشيرن. هذا الاسم يرتبط مباشرة بأنشطة سابقة لـ Seedworm، رغم أن الشهادة نفسها تم إصدارها لهذه الحملة وهي متميزة عن البنية التحتية لتوقيع Seedworm السابقة.

أما الباب الخلفي الثاني الموجود على شبكات المطار الأمريكي والمنظمة غير الحكومية الكندية، المسمى Fakeset، فقد كتب بلغة بايثون ووقع بشهادة إيمي تشيرن وشهادة مُصدرة لدونالد جاي، اسم آخر ارتبط سابقًا بعائلات البرامج الضارة Seedworm Stagecomp وDarkcomp. سلسلة الشهادات هي الخطأ في الأمان التشغيلي الذي يجعل التتبع ممكنًا. هل ارتكبت هذا الخطأ عمداً لضمان التتبع؟ هذا احتمال مرجح.

في حادثة واحدة على الأقل تستهدف شركة برمجيات الدفاع والطيران، حاولت Seedworm استخراج البيانات باستخدام Rclone، أداة مفتوحة المصدر متاحة على نطاق واسع لمزامنة البيانات إلى خدمات التخزين السحابية، موجهة إلى سلة تخزين سحابية تتبع لتقنيات Wasabi. ما إذا كانت عملية النقل نجحت يبقى غير مؤكد. وتم استضافة البرمجيات الخبيثة لـ Fakeset على Backblaze، مزود آخر للبنية التحتية السحابية التجارية، مواصلة نمط استخدام بنية تحتية شرعية للتهرب من الاكتشاف.

السؤال الاستراتيجي الحيوي الذي أثاره هذا الاكتشاف هو ما إذا كانت Seedworm تضع نفسها للتحصيل الاستخباراتي أو للعرقلة أو كليهما. يمكن استخدام أي وصول شبكي لإطلاق هجوم تصاعدي يبدأ باستخراج البيانات وينتهي بحادثة حركية.  

هذا يصبح أكثر إزعاجًا بما حدث لعملية المراقبة بكاميرات المراقبة CCTV في إيران في عام 2025. في مايو 2025، اخترقت MuddyWater خادماً يحتوي على بث حي لكاميرات المراقبة CCTV من القدس. في 23 يونيو 2025، قصفت إيران القدس. أفادت السلطات الإسرائيلية في نفس اليوم أن القوات الإيرانية استخدمت الكاميرات الأمنية المخترقة لجمع المعلومات الاستهدافية في الوقت الحقيقي. امتدت المسار من الوصول السلبي إلى الاستهداف النشط في خمسة أسابيع. وُضعت قدم Seedworm في شبكات أمريكية في أوائل فبراير. الآن نحن في منتصف مارس.

ما الذي ينتظرنا؟

تم وصف الأيام السبعة الماضية بنسب عالية من الادعاءات إلى التأثيرات المؤكدة. تظل معظم ادعاءات الناشطين بتسريب تحكم البنية التحتية الحيوية واختراق قطاع الطاقة وتدمير البنية التحتية الحرجة غير مُثبتة. نشرت مؤسسة الدفاع عن الديمقراطيات تحليلًا هذا الأسبوع ي stating بوضوح أن معظم ادعاءات الاختراقات الناجحة من المحتمل أن تكون غير صحيحة أو مبالغ فيها. أكّد مركز الأمن السيبراني الوطني الأردني أنه أحبط الهجوم على نظام إدارة صوامع القمح ولم يخضع له.  

لكن الطبقة المهنية الهادئة قصة مختلفة. وجود Seedworm المؤكد داخل بنك أمريكي ومطار وعمليات الإسرائيلي لمزود الدفاع والعديد من المنظمات غير الحكومية ليس ادعاءً، إنها نشاط شبكي موثق، موجه عبر سلاسل الشهادات وشيفرة البرامج الخبيثة، وقد أُبلغت المنظمات المتضررة. الوجود موجود. السؤال لأسبوعين إلى أربعة أسابيع القادمة هو ما إذا كان سيبقى بنية تجسس أو يصبح أساسًا لعملية تعطيلية أو تدميرية. 

بالنسبة للمنظمات في القطاعات التي لمسها النشاط المؤكد هذا الأسبوع، الإشارة واضحة: لا يزال الباب الذي دخلت منه فريق Seedworm في فبراير مفتوحًا في العديد من المنظمات التي لا تعرف بعد أنها استُهدفت. تم بناء الباب الخلفي Dindoor ليكون غير مرئي. فيما يلي كيف يمكن أن تتكشف الأمور:

· يشير الفاعلون الإيرانيون إلى شبكات مخترقة مسبقاً لاستهداف شركات في الخليج وخارجها. قد يستخدم هؤلاء الفاعلون هذه الشبكات لإخفاء حركة مرور مشبوهة

· مع زيادة عرض النطاق الترددي، ستزداد قدرة هذه المجموعات على الاستطلاع

· قد يكتسب الفاعلون الإيرانيون أيضًا الوصول إلى مزارع الروبوتات التي تديرها مجموعات التهديد المتقدمة الروسية والصينية لاستهداف كيانات البنية التحتية الحرجة المحددة

· في الوقت نفسه، ستستمر المجموعات الإيرانية في الادعاء بمسؤوليتها عن العديد من الخروقات للبقاء في الأخبار

· لم نشهد بعد ذروة جهود استهداف الفاعلين الإيرانيين   

بالإضافة إلى ذلك، يمكن استخدام هذه الأنماط للتنبؤ بما يمكن أن يكون عليه قائمة الأهداف التالية:

 احصل على موجز استخبارات تهديد مخصص، هنا.  

 قم بتنزيل موارد إضافية

قائمة تدقيق تقييم المخاطر على أساس IEC 62443 لعمليات المطارات والبنية التحتية الحرجة
قائمة تدقيق استجابة حوادث التكنولوجيا التشغيلية (OT)
قائمة التحقق من تقييم المخاطر الإلكترونية للتكنولوجيا التشغلية IEC 62443 لمواقع النفط والغاز
إرشادات الموقف الدفاعي للمؤسسات في الشرق الأوسط