كيف تؤثر أزمة إيران على الفضاء الإلكتروني
فريق شيلدوركز
أدت عملية ملحمة الغضب إلى استجابة بطيئة ولكن مستمرة من الجهات المهددة الإيرانية مثل Charming Kitten و MuddyWater و OilRig و Agrius و Cotton Sandstorm. جميع هذه المجموعات نشطة في وقت الكتابة والارتفاع البطيء والمستمر في وتيرة العمليات لهؤلاء الجهات منذ بداية الأزمة يشير إلى أهداف الجهات المهددة الإيرانية أكثر مما نوقش عبر الويب.
لقد أصبحت مجموعات APT الإيرانية أكثر عدوانية وتكيف في الأسابيع القليلة الماضية (ربما كانت في وضع الاستعداد). لم تعد عملياتهم مقتصرة على تغيير المواقع أو التصيد الانتهازي أو مهاجمة الأهداف التي ليست مهمة بشكل كبير. بدلاً من ذلك، أصبحت الآن متكاملة بشكل وثيق في كتاب اللعب الجيوسياسي لطهران، لتكون بمثابة طبقة إضافية من المواجهة الهجومية بالإضافة إلى الردع الدفاعي. إليك تحليل متماسك لأنشطتهم، تكتيكاتهم، والآثار المترتبة على الشركات الإقليمية وخاصة مشغلي بيئات التكنولوجيا التشغيلية (OT).
قبل أن نمضي قدمًا، لا تنسوا الاطلاع على منشورنا السابق في المدونة حول "تهديدات الأمن السيبراني في الشرق الأوسط: ما تحتاج إليه المنظمات معرفته الآن" هنا.
مجموعات APT الإيرانية: التصعيد منذ الأزمة
في 28 فبراير 2026، شنّت الولايات المتحدة وإسرائيل ضربات منسقة في إطار عملية ملحمة الغضب / أسد يزمجر، مما أثار ما يمكن اعتباره أكثر تقارب معقد بين الحرب الحركية وعمليات الأمن السيبراني شهدته منطقة الشرق الأوسط على الإطلاق.
بنية القوة السيبرانية الإيرانية
تمَّ بناء الجيش السيبراني الإيراني بطريقة فريدة. على عكس نظيريه في روسيا والصين اللذين تديرهما حصريًا جهات الدولة، تتمتع مجموعات APT الإيرانية بطبقة قيادة زائدة يتم تفعيلها في أوقات الصراع أو الطوارئ. خلال هذه المواقف، توفر طبقة القيادة هذه التي تشمل مجموعة من المخترقين الممولين من الدولة وعملاء استخبارات سابقين قيادة انتقالية لضمان استمرارية العمليات.
بعد قرابة عقد ونصف من الاستثمارات المتواصلة والتعلم، أصبحت إيران الآن تمتلك قدرة سيبرانية ناضجة مزدوجة المسار تضم مستوى APT المدعوم من الدولة تحت سيطرة الحرس الثوري الإيراني ووزارة الاستخبارات والأمن، ونظامًا متوسعًا من الجهات المتكاملة أو التابعين الذين يوفرون نطاق عمليات، خيارات الاستهداف وإنكار ممكن في نفس الوقت.
مثل هذا التمييز له أهمية كبيرة للمدافعين. يدير الحرس الثوري مجموعات توجه بشكل أساسي نحو التخريب، الوصول إلى البنية التحتية الحيوية، التلاعب بالشبكات والعمليات النفسية. تخدم وزارة الاستخبارات كمجمع للذكاء لجهاز الاستخبارات الحكومي. تشارك كلا من مجموعات الجهات الفاعلة هذه الأدوات، البنية التحتية، وفي بعض الحالات حتى الأهداف. عندما تسمع عن MuddyWater يقوم بتأسيس وصول أولي في كيان الطاقة الإقليمي، هناك نمط موثق لـ OilRig يتبع في الخلف لتنفيذ استخراج مستمر أو لتغطية الآثار.
ملامح الجهات المهددة: اللاعبين النشطين
حتى الآن، تمثل المجموعات التالية أكثر الجهات فعلية وتكتيكية في البيئة الحالية للأزمة:
OilRig (APT34) المعروف أيضًا باسم Helix Kitten / Earth Simnavaz / Cobalt Gypsy
الانتماء: وزارة الاستخبارات والأمن
أهم ذراع تجسس إيراني دائم. ناشطًا منذ عام 2014، يستهدف OilRig قطاعات الطاقة والحكومة والمالية في جميع أنحاء الشرق الأوسط بتفويض طويل الأمد لجمع المعلومات الاستخباراتية. بحلول عام 2025، تحول المجموعة بشكل كبير إلى مسارات هجوم قائمة على السحاب، حيث استخدمت حسابات Microsoft 365 المخترقة وآليات Azure للحفاظ على الوصول. تشتمل أدواتهم الآن على أربعة محملين مخصصين جدد وهم OilBooster و OilCheck و ODAgent و SC5k. جميعها تستخدم واجهات برمجة تطبيقات السحاب من Microsoft الشرعية (OneDrive و Graph و Exchange EWS) كقنوات C2 خفية. يجعل الإساءة المتعمدة للخدمات السحابية الموثوقة اكتشافها صعبًا للغاية بدون تحليلات السلوك.
MuddyWater
الانتماء: وزارة الاستخبارات والأمن
المجموعة الإيرانية الأكثر فعالية في نافذة الأزمة الحالية. تندمج تكتيكاتهم مع تقنيات "العيش قبالة الأرض" (LOtL) مثل PowerShell واستغلال RDP و Mimikatz مع أدوات شرعية مثل SimpleHelp و Atera RMM للوصول عن بُعد المستمر. يمثل الواجهة الخلفية Aclip التي تستغل واجهة برمجة تطبيقات Slack لـ C2 استعدادهم لتسليح منصات SaaS الموثوقة.
APT42 / Charming Kitten المعروف أيضًا باسم TA453 / Mint Sandstorm / Educated Manticore
الانتماء: الحرس الثوري الإيراني-IO
آلة جمع الاستخبارات البشرية. لا تذهب APT42 على نطاق واسع - بل تذهب عميقًا. يتم استهداف الصحفيين والباحثين والخبراء في السياسة والأكاديميين والنشطاء المغتربين من خلال زراعة علاقات طويلة الأمد قبل أي توغل تقني يحدث. لاحظت Check Point Research حملات هندسة اجتماعية متعددة القنوات تستغل تطبيقات المراسلة لتوجيه الأهداف نحو مجموعات زراعة رمز الوصول. في البيئة الحالية، هذه المجموعة تستهدف الأفراد ذوي الوصول المتميز: الصحفيين الذين يغطون النزاع، محللين في مقاولي الدفاع، وأي شخص قريب من صناع القرار.
CyberAv3ngers المعروف أيضًا باسم شهيد كاوه / قيادة الدفاع السيبراني التابع للحرس الثوري الإلكتروني
الانتماء: الحرس الثوري الإيراني-IO
المتخصص بمجال التكنولوجيا التشغيلية. يمثل CyberAv3ngers أقوى قدرة مباشرة لإيران ضد الأنظمة الصناعية للتحكم. تم ربطه سابقًا بهجمات ضد وحدات التحكم المنطقية القابلة للبرمجة من نوع Unitronics في مرافق المياه الأمريكية، وقد قام مؤخرًا بإعادة استخدام بنية تحتية C2 مرتبطة بإطار عمل البرامج الضارة IOCONTROL - أداة مخصصة تركز على التكنولوجيا التشغيلية مصممة للتفاعل مع وحدات التحكم المنطقية القابلة للبرمجة والواجهات البشرية-الآلة ومكونات SCADA. يُزعم أن وثائق الاستخبارات مسربة من Flashpoint امتدادًا لعمليات تسلل إلى شركة مستودعات الحبوب الأردنية، بما في ذلك التلاعب المزعوم بالتحكم في درجة الحرارة وأنظمة الوزن. سواء كان أمرًا متحققًا بالكامل أو جزئيًا، فإن النية الاستهدافية ضد التكنولوجيا التشغيلية قاطعة.
Cotton Sandstorm المعروف أيضًا باسم Haywire Kitten / Emennet Pasargad / MarnanBridge
الانتماء: الحرس الثوري الإيراني
المشغل السريع للتأثير. يجمع كتاب اللعب الخاص بـ Cotton Sandstorm بين تغيير المواقع، وهجمات DDoS، واختراق البريد الإلكتروني، والسرقة المعلوماتية مع تعزيز فوري للعمليات المعلوماتية. يتم تقديم أداة WezRat المخصصة للسرقة المعلوماتية من خلال حملات التصيد الاحتيالي التي تتظاهر بتحديثات البرامج العاجلة. في بعض الحالات المستهدفة من إسرائيل، تبعت عمليات الاقتحام نشر برنامج الفدية WhiteLock. تتحرك هذه المجموعة بسرعة - إنها مصممة للوتيرة، وليس للتخفى.
[المجموعة البروكسي الناشطة]
Evil 33
تشكّلت في 28 فبراير 2026 بعد ساعات قليلة من أول الضربات، تعمل Evil33 كمركز تنسيق للخلايا الناشطة المؤيدة لإيران. ترتبط هذه المجموعة بوزارة الاستخبارات، وتمزج بين استخراج البيانات والاستهداف العملياتي لمنظمات الطاقة الإسرائيلية والتصنيع والدفاع والرعاية الصحية. تُظهر تحليل الرسائل عبر 150 مجموعة على Telegram توقيت الهجوم متزامنًا مع الأحداث الحركية على الأرض ويمكننا أن نقول بثقة عالية أن هذا ليس نشاطًا عفويًا.
التكتيكات والأساليب والإجراءات
لقد تطورت تكتيكات وأساليب وإجراءات APT الإيرانية بشكل كبير لتصبح أكثر تعقيدًا منذ عصر Shamoon. التحول الآن نحو إساءة استخدام السحاب، تقنيات LOtL، والعمليات المدعومة من الذكاء الاصطناعي. هذه التكتيكات تمثل تكيفًا متعمدًا لبيئات الدفاع الحديثة مع زيادة فرص النجاح.
الوصول الأولي (MITRE TA0001)
التقنية | الجهة الفاعلة | التفاصيل | MITRE ID |
التصيد الاحتيالي مع جمع بيانات الاعتماد | APT42، MuddyWater، APT34 | صفحات تسجيل الدخول المزيفة التي تحاكي Microsoft 365 و Google Workspace وبوابات VPN. بناء الثقة متعددة الخطوات قبل تسليم البايلود. | T1566.002 |
استغلال الأجهزة VPN / Edge | Fox Kitten، APT33 | استغلال CVEs المعروفة في Pulse Secure و Fortinet و Citrix و Palo Alto GlobalProtect. الأنفاق SSH للاستمرارية بعد الوصول. | T1190 |
الهندسة الاجتماعية عبر المنصات المهنية | APT42، Tortoiseshell | شخصيات مزيفة لمجندين على LinkedIn، دعوات مقابلات مزيفة، زراعة علاقات طويلة الامد قبل تقديم ملفات مزودة بالبرامج الخبيثة. | T1566.003 |
هجمات ثقب الماء | APT35، APT39 | اختراق المواقع التي يتردد عليها الجماعات المستهدفة (المعاهد السياسية، مواقع أخبار المغتربين، بوابات الأكاديميين). | T1189 |
الاستمرار والتحكم والقيادة (MITRE TA0003 / TA0011)
التقنية | الجهة الفاعلة | التفاصيل | MITRE ID |
خدمات السحاب الشرعية كقنوات C2 | OilRig، MuddyWater | تم استخدام Microsoft OneDrive و Graph API و Exchange EWS API و Slack API للقيادة والسيطرة الخفية وتصفية البيانات. تتفق بشكل فعال مع الأسس المرورية الشرعية. | T1102، T1567 |
أدوات RMM التجارية للثبات | MuddyWater | إساءة استخدام SimpleHelp و Atera و ScreenConnect للوصول عن بُعد المستمر. من المستحيل تقريبًا حظر الأدوات بدون سياسات التحكم. | T1219 |
نشر صدفة الويب | OilRig، MuddyWater | صدفة الويب المثبتة على خوادم Exchange و IIS المواجهة للإنترنت كنقاط دخول ثانوية بعد الاختراق الأولي. | T1505.003 |
أنفاق DNS | OilRig | الأحمولة المخصصة تستخدم استفسارات DNS للتواصل C2، متجاوزة العديد من ضوابط الحدود. | T1071.004 |
الحقيبة التقنية
الأداة / البرمجيات الخبيثة | الجهة الفاعلة | القدرة | MITRE ID |
Shamoon / MeteorExpress | مرتبط بـ APT33 | مسح القرص المدمر. أضاف MeteorExpress حذف ظل الحجم وإساءة استخدام Active Directory. لا يزال المرجع المعماري لتطوير المسح الإيراني. | T1485 |
WezRat | Cotton Sandstorm | أداة معلوماتية مخصصة تقدم كمن تحديثات برمجية زائفة. تسجيل المفاتيح، التقاط الشاشة، جمع بيانات الاعتماد، مراقبة حافظة. | T1056، T1113 |
IOCONTROL | CyberAv3ngers | برمجية خبيثة مخصصة وموجهة للتكنولوجيا التشغيلية مصممة للتفاعل مع PLCs و HMIs ونظم SCADA. تتواصل عبر MQTT عبر TLS. تم نشرها سابقًا ضد PLCs من نوع Unitronics. | T0831، T0836 |
WhiteLock Ransomware | Cotton Sandstorm | تم نشرها بعد الاختراق بواسطة WezRat ضد الأهداف الإسرائيلية. تعتبر أداة تدمير/إكراه أكثر من كونها نوع من الفدية المالية. | T1486 |
PowGoop / Thanos variations | MuddyWater | محمل خلفي يستخدم التشويش PowerShell. تم استخدام نسخة Thanos كنوع من الفدية المزيف للتأثير التدميري مع إمكانية الإنكار. | T1059.001 |
Foudre + Tonnerre | Infy (Prince of Persia) | زوج من الغرسات طويلة العمر المستخدمة للمراقبة. تم كشف Tonnerre v50 في سبتمبر 2025. تستهدف Telegram على الأجهزة المُخترقة. | T1204.002 |
أظهرت تحقيقات متعددة أن CyberAv3ngers يستخدم نماذج GPT بشكل خاص لإجراء أبحاث حول PLCs، والاستعلام عن وثائق وحدة التحكم المنطقية القابلة للبرمجة، وأسطح الهجوم، ونقاط ضعف البرامج الثابتة. يعمل الذكاء الإصطناعي على تسريع الوتيرة التي يمكن للمشغلين الأقل تقنية تطوير قدرات القادرة على التسلل إلى التكنولوجيا التشغيلية. تمثل ديمقراطية أبحاث الهجوم على ICS تحول هيكلي وليس اتجاهًا مؤقتًا.
نصيحة محددة لمشغلي OT/ICS
لدى إيران اهتمام مؤكد ونشط والآن ملتزم عملياتيًا بمهاجمة التكنولوجيا التشغيلية عبر المستويات والدول. هذه ليست قدرة طموحة. لقد أدت حملات Shamoon ضد أرامكو السعودية (2012، 2017) إلى تدمير 35,000 محطة عمل. هجوم TRITON/TRISIS ضد منشأة بتروكيماوية سعودية استهدف أنظمة آمنة بشكل محدد ليتسبب في أضرار مادية. لقد عطل CyberAv3ngers العمليات في مرافق معالجة المياه في الولايات المتحدة في الماضي.
تضيف البيئة الحالية للتهديد أبعادًا جديدة إلى هذا النمط المؤسس. تمت ملاحظة بنية تحتية مرتبطة بـ Agrius يقوم بالتنقيب بفعالية عن الكاميرات IP الضعيفة في إسرائيل خلال صراع يونيو 2025. كان من المحتمل ذلك لتقييم أضرار المعركة بعد الهجوم (BDA). كانت الكاميرات في مرافق الطاقة، أنظمة الأمان الفيزيائية، المحطات الفرعية، والبنية التحتية للموانئ ضمن النطاق. يعتبر هذا سلوك استطلاع بنية استهداف مادية.
إجراءات التخفيف
الإجراءات الفورية
· فحص جميع الأصول المواجهة للإنترنت بما في ذلك شبكات VPN والجدران النارية وExchange/OWA وبوابات RDP وتطبيق التصحيحات لجميع CVEs الحرجة
· جعَل المزيد من صلاحيات المستخدم تحت وضع الإقرار والنشر
· تعزيز MFA المقاومة للتصيد الاحتيالي (FIDO2 / مفاتيح الأجهزة) على جميع حسابات M365 وGoogle Workspace وشبكات VPN. MFA القائمة على الرسائل النصية غير كافية
· مراجعة وضبط الوصول إلى أدوات RMM. حظر أو طلب تفويض صريح لجميع جلسات الإدارة عن بعد
· سحب سجلات التدقيق من M365 والبحث عن منح تطبيق OAuth الغير طبيعي، واستدعاءات API في Graph والوصول إلى EWS
· الوقوف أو مراجعة تغطية تخفيف الهجمات DDoS لجميع الممتلكات العامة والوصول إلى البوابات التشغيلية
إجراءات قصيرة الأجل
· إذا كنت تشغل وحدات Vision أو UniStream PLC من Unitronics، فقم بفحص الشبكات غير المتوقعة واتساق البرامج الثابتة. تحقق من حركة المرور MQTT على منفذ 8883 إلى IPs خارجية
· التحقق والتأكيد على تقسيم الشبكة OT/IT - تأكد من تنفيذ نموذج Purdue بشكل فعلي وليس مجرد توثيق
· تعطيل الوصول عن بُعد لأي نظام OT غير مطلوب عمليًا
· إجراء تفتيش سريع على الكاميرات IP وواجهات المستخدم البشرية والأنظمة الأمنية المرتبطة بالشبكة للحصول على معلومات تعريف افتراضية والمنافذ المفتوحة
· توعية موظفين الميدان بالهندسة الاجتماعية. قد يكون عرض العمل مكيدة
ما يجب مراقبته
· زيادة في استفسارات DNS للمجالات الغير مألوفة OilRig أنفاق DNS. تفعيل تسجيل DNS والكشف عن الشذوذ
· تنفيذ PowerShell الغير عادي، خاصة الأوامر المشفرة (Base64). تفعيل سجل الكتل النصية و AMSI
· الاتصال الغير متوقع الصادر إلى OneDrive أو SharePoint أو Exchange من عمليات غير قياسية
· إنشاء حسابات مسؤولين محلية أو حسابات خدمة جديدة خارج نوافذ إدارة التغييرات
· استدعاءات API في Telegram من محطات العمل والخوادم
· حذف النسخة الظليلة أو تعداد القرص في ساعات غير عادية - تمهيد لنشر المسح
توصيات أخرى
· إجراء تقييم مخاطر مؤقت للبنية التحتية الخاصة بك يغطي الضوابط والحوكمة
· الاشتراك في تغذية معلومات التهديد ذات فرق عمل APT الإيرانية
· قم بتشغيل تمرين للاستجابة لحوادث يمثل اختراق MuddyWater يصل إلى شبكتك OT. اختبار الردود وكفاءة
· تأكد من شمول خطة الاستجابة للحوادث بشكل صريح على سيناريوهات البرمجيات الخبيثة المدمرة (المسح)
· العمل مع موردي OEM لتعزيز أمان سلسلة التوريد
· ترقب التسريبات في الشبكة المظلمة واستعد فريق الاتصالات الخاص بك لعمليات الاختراق والتسريب المحتملة
يجب ملاحظة أن إيران غالبًا ما تبالغ في تأثير هجوماتها السيبرانية لتأثير نفسي. لكن هذا لا ينبغي أن يردعك عن رفع مستويات الأمان لديك. في نفس الوقت، لا يجب تجاهل هجمات DDoS وتغيير المواقع على أنها 'أقل تأثير'. مثل هذه الهجمات قد تكون بداية لحملة أكبر قد تشمل أنظمة OT واستعادة طويلة الأمد. الخيار الأفضل المتاح هو تحسين دفاعاتك والاستعداد.
احجز استشارة مجانية حول وضع الأمان وإدارة معلومات التهديد وتيرة البنية التحتية وأمان OT وامتثال IEC 62443، هنا.
الموارد الإضافية
نصيحة حول التهديدات السيبرانية في أزمة إيران.
قائمة تدقيق لتنفيذ المناطق والتحقق منها على أساس IEC 62443
قائمة تدقيق الامتثال ومتعقب المؤشرات الرئيسية لأداء NERC CIP-015-1
حالة أمن OT: ريادة ICS/SCADA/PLC الشائعة المتصلة بالإنترنت
احصل على تحديثات أسبوعية
الموارد والأخبار
قد تود أيضًا
How Iranian threat actors are operating without connectivity
Prayukth K V
As global conflicts escalate, APT playbooks are quietly changing
Prayukth K V
Iranian threat actors return; actually they never left
Prayukth K V
شرح NERC CIP-015-2: توسيع INSM لتشمل EACMS و PACS
فريق شيلدوركز
تأمين البنية التحتية الحيوية من مجموعات تهديدات APT خلال الأحداث الجيوسياسية
برايوكت كيه في
فك رموز الهدوء الاستراتيجي للمجموعات الإلكترونية الإيرانية
فريق شيلدوركز
