في صباح يوم 28 فبراير 2026، بدأت الطائرات الأمريكية والإسرائيلية الضربات التي من شأنها أن تعلن البداية الرسمية للصراع الذي يعصف الآن بالشرق الأوسط. وبحلول المساء، أعلنت منظمة "نت بلوكس" (NetBlocks) أن اتصال الإنترنت الإيراني قد وصل إلى 4% من المستويات المعتادة. وبحلول 7 مارس، وبعد تسعة أيام متتالية من شبه انقطاع تام، استقر الرقم عند 1% فقط. 120 ساعة من التوقف التام، كما وصفتها إحدى المطبوعات الشهيرة، قيست بأجزاء طفيفة لبلد بأكمله. 

ومع ذلك، في الأيام السبعة التي تلت ذلك، ضربت جهات تهديد تابعة لإيران بنكًا أمريكيًا، وشركة برمجيات لقطاع الدفاع لديها عمليات في إسرائيل، ومطارًا أمريكيًا، ومؤسستين للطاقة في الخليج، وقامت بزرع أبواب خلفية على شبكات متعددة في كندا. كما قاموا بنقل ما يقدر بـ 1.3 تيرابايت من البيانات من شركة نفط. كانت آثارهم واضحة عبر الفضاء السيبراني. وفي الواقع، كانت مجموعة APT 34 تهاجم شبكات في الهند والبرازيل والبحرين وكندا.   

وهنا يطرح السؤال نفسه. كيف يمكن لدولة لا تملك سوى واحد بالمئة من اتصال الإنترنت أن تشن هذا النوع من الهجمات؟ هل هذا نوع من الخداع؟ الإجابة، كما كشفت عنها هذا الأسبوع وكالات الأمن السيبراني الوطنية، وفرق استخبارات التهديدات الحكومية، وباحثو Shieldworkz، والتحريات الجنائية مفتوحة المصدر، تشير إلى كوكبة من الأقمار الاصطناعية المستقرة على ارتفاع 550 كيلومترًا فوق الأرض، والتي قامت إيران بحظرها وتجريمها والتشويش عليها، ثم قامت في الوقت ذاته، من خلال عملاء مخابراتها، باستغلالها في هدوء.

قبل أن نمضي قدمًا، لا تنسوا الاطلاع على منشورنا السابق حول "مع تصاعد الصراعات العالمية، تتغير أدلة هجمات APT الهجومية بهدوء"، من هنا. 

إليكم ما حدث بالتفصيل.

اتصال بنسبة واحد بالمائة ولكن مع البقاء على الإنترنت

إن الانقطاع الحالي للإنترنت في إيران هو في الواقع ثاني إغلاق شبه كامل في أقل من 60 يومًا. بدأ الإغلاق الأول في 8 يناير 2026، بسبب الاحتجاجات العارمة، وخفّض الاتصال إلى ما يقرب من ثلاثة بالمائة. وحدث عودة جزئية في فبراير، حيث استعادت حركة المرور ما يقرب من خمسين بالمائة من مستواها الطبيعي بحلول منتصف الشهر قبل أن تنهار مجددًا في 28 فبراير بعد "عملية الغضب الملحمي" (Epic Fury)، وهي حملة الضربات المشتركة بين الولايات المتحدة وإسرائيل. ومنذ ذلك الحين، سجلت NetBlocks مستويات اتصال باستمرار عند أو أقل من أربعة بالمائة، حيث أظهر آخر قياس تم نشره في 7 مارس استقرار الاتصال عند واحد بالمائة فقط. 

ولا تزال الشبكة الوطنية للمعلومات، وهي الإنترانت المحلية لإيران، تعمل جزئيًا ولكن للمؤسسات المدرجة في القائمة البيضاء فقط. وكانت وسائل الإعلام الحكومية والوزارات والاتصالات المرتبطة بالحرس الثوري الإيراني من بين أولى الخدمات التي استُعيدت بموجب نظام القائمة البيضاء (بترتيب أولويات محدد). وهذا يعني أن عملاء النظام، بما في ذلك مقاولو الاستخبارات والوحدات السيبرانية الخاضعة للعقوبات، لديهم إمكانية الوصول إلى اتصال محلي خاضع للرقابة حتى عندما يتم قطع الإنترنت عن المدنيين. ومع ذلك، فإن وصولهم إلى الإنترنت العالمي يتطلب شيئًا آخر، وهذا الشيء هبط من السماء.

ويُقال إنه تم إدخال 7,000 جهاز طرفي لشبكة "ستارلينك" (Starlink) إلى إيران خلال انقطاع شهر يناير، وفقًا لتقرير صحيفة وول ستريت جورنال الذي أكدته عدة وسائل إعلامية هذا الأسبوع. بالإضافة إلى ما يقدر بنحو 50,000 جهاز مهرب كانت موجودة بالفعل في إيران، مما شكّل البنية التحتية المادية لطبقة اتصالات موازية تستخدمها الفئات المحتجة ضد الحكومة الإيرانية. 

وقد كان رد التشويش الإيراني مستمرًا وموثقًا. وأظهرت بيانات تداخل نظام تحديد المواقع العالمي (GPS) التي حللتها Shieldworkz من موقع gpsjam.org تلوثًا مستمرًا لنطاق نظام GPS L1 بتردد 1575.42 ميجاهرتز عبر منطقة طهران منذ 28 فبراير، بما يتفق مع عمليات التشويش المتنقلة التي بدأت في يناير. وكان التأثير هو إضعاف اتصال ستارلينك بدلاً من التعتيم الكامل. حيث يستمر المستخدمون الذين لديهم وصول واضح إلى السماء بعيدًا عن نطاق التشويش المتنقل في تحقيق سرعات نقل بيانات صالحة للاستخدام. تلك النافذة المتبقية، الضيقة في المدن والأوسع في المناطق الريفية وشبه الحضرية، هي ما استخدمته جهات التهديد. ومن المحتمل أيضًا أن تكون بعض الأجهزة الطرفية قد صادرتها وكالات الاستخبارات الإيرانية واستخدمتها لدعم عمليات جهات التهديد. 

التسلسل الزمني لاتصال الإنترنت الإيراني: من 28 فبراير إلى 10 مارس 2026

المصادر: NetBlocks عبر Mastodon؛ CNBC في 7 مارس 2026؛ gpsjam.org؛ صحيفة The National 

عمليات الأقمار الاصطناعية والتصعيد

تمثل أنشطة مجموعة الاختراق "حنظلة" (Handala Hack) في الأيام السبعة الماضية تحولاً نوعيًا عن نمط تشغيلها السابق. وانتقلت المجموعة، التي تقدر وكالات حكومية غربية متعددة بثقة عالية أنها واجهة تدار من قبل وزارة الاستخبارات والأمن الإيرانية، من أسلوب الاختراق والتسريب في إسرائيل إلى عمليات متعددة المحاور تشمل منطقة الخليج بأكملها والولايات المتحدة وحتى الجالية الإيرانية في أمريكا الشمالية.

ويعد استخدام ستارلينك كطبقة اتصال هو الأساس التشغيلي الذي يجعل كل هذا ممكنًا. وقد تم تشغيل حملات حنظلة بالفعل من نطاقات عناوين IP الخاصة بـ ستارلينك، حيث اختبرت المجموعة التطبيقات الخارجية بحثًا عن أخطاء في التكوين وكلمات مرور ضعيفة. واستمر هذا النمط في شهر مارس.  

وكانت أهم عمليات مجموعة حنظلة في الأيام السبعة الماضية هي الاختراق المزعوم لشركة نفط في الإمارات العربية المتحدة. ونشرت حنظلة هذا الادعاء في 3 مارس (عندما كان الاتصال أقل من 4%)، مؤكدة سحب 1.3 تيرابايت من البيانات بما في ذلك بيانات مالية وعقود نفط ووثائق داخلية. وجاء في منشور المجموعة على موقع التسريبات الخاص بها على الشبكة المظلمة، وأقتبس هنا: "لقد قمنا بتفكيك البنية التحتية الحيوية واستخرجنا 1.3 تيرابايت من البيانات الحساسة". تتوافق هذه اللغة مع أسلوب التواصل الأصلي للمجموعة، المصمم لإحداث أقصى تأثير نفسي على حكومات الخليج التي تعتبرها داعمة عسكريًا للولايات المتحدة. ولم تؤكد شركة النفط المتأثرة أو تنفِ عملية الاختراق علنًا. ولم يثبت بشكل قاطع تحليل عينات المواد المسربة، حيث تمكن الباحثون من فحصها، ما إذا كانت البيانات حديثة أم قديمة، على الرغم من أن الحجم المزعوم أكبر بكثير من البيانات المعاد تدويرها من ادعاء آخر تم تقديمه في نفس الأسبوع، والذي صنفه الباحثون على أنه من المرجح أن يكون مفبركًا أو ممتلئًا بملفات متداولة سابقًا. وهذه علامة واضحة على اليأس.

وبشكل منفصل، أدرجت حنظلة أيضًا شركة نفط إسرائيلية كضحية لفدية برمجية، حيث ظهر نفس الحجم المزعوم البالغ 1.3 تيرابايت في كلا القائمتين. إن تزامن الأرقام عبر منظمتين منفصلتين يثير شكوكًا حول تضخيم البيانات، ويجب التعامل مع إجمالي الادعاء المشترك بالتشكيك المناسب. ما ليس موضع شك هو نمط الاستهداف: البنية التحتية للطاقة في الخليج وقطاع الطاقة الإسرائيلي، وهما الفئتان الأكثر احتمالاً لإثارة الفزع الاستراتيجي وتضخيم الإهتمام الإعلامي.

مجموعة Seedworm في الشبكات الأمريكية

ولم تأتِ أهم كشوفات الأيام السبعة الماضية من حنظلة، بل من Seedworm، وهي مجموعة APT الإيرانية طويلة النشاط والتي نسبتها الوكالات الحكومية الأمريكية بما في ذلك CISA والـ FBI والمركز الوطني للأمن السيبراني البريطاني (NCSC) لوزارة الاستخبارات والأمن الإيرانية. كانت Seedworm تتواجد داخل شبكات العديد من المنظمات الأمريكية منذ أوائل فبراير على الأقل، قبل أسابيع من الغارة الجوية الأولى. ومن الممكن أن تكون Seedworm قد شقت طريقها أيضًا إلى شبكات مرتبطة بدول أخرى أيضًا.

وتشمل قائمة الضحايا المؤكدين بنكًا أمريكيًا ومطارًا أمريكيًا وشركة برمجيات مقرها الولايات المتحدة تقدم خدماتها لقطاع الدفاع والفضاء ولديها عمليات في إسرائيل، بالإضافة إلى منظمات غير حكومية في كل من الولايات المتحدة وكندا. لا يعرف الباحثون كيف حصلت Seedworm على وصولها الأول ولكن لا يمكن استبعاد وجود طريق من الداخل في هذه المرحلة. وتشتهر المجموعة باستخدام تقنيات مثل التصيد الاحتيالي واستغلال الثغرات الأمنية في التطبيقات التي تواجه الجمهور، ولكن لم يتم تحديد ناقل الدخول المحدد لهذه الحملة.

وما وجده الباحثون أيضًا هو مجموعة جديدة من الأدوات التي تستخدمها جهة التهديد. ويستغل الباب الخلفي الرئيسي، المسمى Dindoor، بيئة التشغيل Deno (وهي بيئة تشغيل آمنة للغتين JavaScript و TypeScript تم تطويرها كبديل حديث لـ Node.js) لتشغيل الأوامر على الأجهزة المصابة. ويعد اختيار Deno أمرًا بارزًا؛ حيث إنها بيئة تشغيل جديدة نسبيًا ذات حضور أمني بحثي أصغر مقارنة بسابقتها المباشرة، ويمكن لرسائلها الشبكية أن تندمج مع حركة مرور المطورين المشروعة في البيئات التي تُستخدم فيها Deno. وقد تم توقيع Dindoor رقميًا بشهادة صادرة لشخص يدعى "إيمي شيرن" (Amy Cherne). ويرتبط هذا الاسم مباشرة بأنشطة Seedworm السابقة، على الرغم من أن الشهادة نفسها قد صدرت لهذه الحملة وهي متميزة عن البنية التحتية القديمة لتوقيعات Seedworm.

وهناك باب خلفي ثانٍ تم العثور عليه في شبكات المطار الأمريكي والمنظمة غير الحكومية الكندية، باسم Fakeset، وقد كُتب بلغة Python وتم توقيعه بكل من شهادة إيمي شيرن وشهادة صادرة لـ "دونالد غاي" (Donald Gay)، وهو اسم آخر تم ربطه سابقًا بعائلات برمجيات Seedworm الخبيثة مثل Stagecomp و Darkcomp. إن سلسلة الشهادات هذه هي الخطأ الأمني التشغيلي الذي يجعل الإسناد ممكنًا. هل كان هذا خطأً ارتكب عمدًا لضمان الإسناد؟ هذا احتمال وارد.

وفي حادثة واحدة على الأقل استهدفت شركة برمجيات الدفاع والفضاء، حاولت Seedworm نقل البيانات باستخدام Rclone، وهي أداة مفتوحة المصدر متاحة على نطاق واسع لمزامنة البيانات مع خدمات التخزين السحابي، موجهة إلى مساحة تخزين سحابية في Wasabi Technologies. ولا يزال نجاح هذا النقل غير مؤكد. وتم استضافة البرمجيات الخبيثة لـ Fakeset على Backblaze، وهو موفر تخزين سحابي تجاري آخر، استمرارًا لنمط استخدام البنية التحتية المشروعة للتهرب من الاكتشاف.

والسؤال الاستراتيجي البالغ الأهمية الذي يثيره هذا الاكتشاف هو ما إذا كانت Seedworm تتموضع مسبقًا لجمع المعلومات الاستخباراتية أو للتعطيل والتخريب، أم للأمرين معًا. ويمكن استخدام أي وصول إلى شبكة لشن هجوم متصاعد يبدأ باستخراج البيانات وينتهي بحادثة مادية.  

وما يجعل هذا الأمر أكثر إثارة للقلق هو ما حدث لعملية مراقبة الكاميرات الإيرانية لعام 2025. ففي مايو 2025، اخترقت مجموعة MuddyWater خادمًا يحتوي على بث حي لكاميرات المراقبة التلفزيونية المغلقة من القدس. وفي 23 يونيو 2025، قصفت إيران القدس. وأفادت السلطات الإسرائيلية في نفس اليوم أن القوات الإيرانية استخدمت كاميرات مراقبة مخترقة لجمع معلومات استخباراتية في الوقت الفعلي لاستهداف الأهداف. وكان المسار من الوصول السلبي إلى الاستهداف النشط خمسة أسابيع فقط. وتم زرع موطئ قدم لـ Seedworm في الشبكات الأمريكية في أوائل فبراير. ونحن الآن في منتصف مارس.

ما الذي ينتظرنا في المستقبل؟

لقد تميزت الأيام السبعة الماضية بنسبة عالية من الادعاءات مقارنة بالتأثيرات المؤكدة. ولا تزال معظم تأكيدات نشطاء الاختراق حول النجاح في اختراق أنظمة التحكم الصناعية (ICS)، وتدمير قطاع الطاقة، وتعطيل البنية التحتية الحيوية، غير مؤكدة. ونشرت مؤسسة الدفاع عن الديمقراطيات تحليلاً هذا الأسبوع ذكرت فيه صراحة أن معظم مزاعم الاختراقات الناجحة هي على الأرجح كاذبة أو مبالغ فيها. وأكد المركز الوطني للأمن السيبراني في الأردن أنه أحبط، ولم يقع ضحية، للهجوم على نظام إدارة صوامع القمح لديه.  

لكن الطبقة المهنية الهادئة هي قصة مختلفة تمامًا. إن الوجود المؤكد لـ Seedworm داخل بنك أمريكي، ومطار، وعمليات إسرائيلية لمورد دفاعي، ومنظمات غير حكومية متعددة ليس مجرد ادعاء. بل هو نشاط شبكي موثق، تم إسناده جنائيًا من خلال سلاسل الشهادات ورموز البرمجيات الخبيثة، وتم إخطار المنظمات المتأثرة. موطئ القدم موجود بالفعل. والسؤال للأسبوعين إلى الأسابيع الأربعة المقبلة هو ما إذا كان سيبقى مجرد بنية تحتية للتجسس أم سيصبح أساسًا لعملية تخريبية أو مدمرة.

بالنسبة للمؤسسات في القطاعات التي طالها النشاط المؤكد هذا الأسبوع، فإن الإشارة واضحة: الباب الذي دخل منه فريق Seedworm في فبراير لا يزال مفتوحًا في العديد من المنظمات التي لا تعرف حتى الآن أنها كانت مستهدفة. تم تصميم الباب الخلفي Dindoor ليكون غير مرئي. وإليكم كيف يمكن أن تتطور الأمور:

· ستقوم جهات التهديد الإيرانية بتنشيط المزيد من الشبكات المخترقة مسبقًا لاستهداف الشركات في الخليج وخارجه. وقد يستخدمون هذه الشبكات لإخفاء حركة المرور المشبوهة

· مع زيادة عرض النطاق الترددي، ستزداد قدرة الاستطلاع لدى هذه المجموعات

· ويمكن للجهات الإيرانية أيضًا الوصول إلى مزارع البوتات (botfarms) التي تديرها مجموعات APT الروسية والصينية لاستهداف كيانات محددة في البنية التحتية الحيوية

· وفي غضون ذلك، ستدعي المجموعات الإيرانية مسؤوليتها عن العديد من الاختراقات للبقاء في صدارة الأخبار

· لم نشهد بعد ذروة جهود الاستهداف من قبل الجهات الإيرانية    

بالإضافة إلى ذلك، يمكن استقراء هذه الأنماط لفهم ما قد تكون عليه المجموعة التالية من الأهداف:

 احصل على موجز مخصص لمعلومات التهديدات، من هنا.  

 تحميل موارد إضافية

قائمة مراجعة تقييم المخاطر القائمة على معيار IEC 62443 لعمليات المطارات والبنية التحتية الحيوية
قائمة مراجعة الاستجابة لحوادث تكنولوجيا العمليات (OT)
قائمة المراجعة الميدانية لتقييم مخاطر الأمن السيبراني لتكنولوجيا العمليات (OT) وفقًا لـ IEC 62443 لمواقع النفط والغاز
دليل الموقف الدفاعي للمؤسسات في الشرق الأوسط