تشير حملة MuddyWater الجديدة إلى مرحلة جديدة ومتزايدة من العمليات الإلكترونية الإيرانية

لطالما خلقت الخطوط الفاصلة الجيوسياسية في الشرق الأوسط صدى عميق في الفضاء الإلكتروني. كما ذكرنا سابقًا (هنا)، لم يتم إزالة المجموعات الإيرانية من المعادلة الجيوسياسية الشاملة في المنطقة. بدلاً من ذلك، كانوا يتخفون، ينتظرون اللحظة المناسبة لشن هجمات تكاد تبدو وكأنهم مستعدون الآن لإطلاق الموجة التالية من الهجمات السيبرانية ضد الأهداف في المنطقة وخارجها.

MuddyWater، المجموعة المدعومة من الدولة ومجموعة التهديد المتطور المستمر المرتبطة رسمياً بوزارة الاستخبارات والأمن الإيرانية (MOIS)، أظهرت مرة أخرى أنها ليست مجرد إزعاج إقليمي بل عدو متطور ومتطور ودوافع استراتيجية وقادرة على اختراق البنية التحتية الحرجة بعمق.

اكتشاف Dindoor، وهو باب خلفي غير معروف سابقًا يستخدم بيئة تشغيل JavaScript Deno إلى جانب زراعة Fakeset القائمة على بايثون، عبر شبكات البنوك الأمريكية والمطارات والمنظمات غير الربحية وشركات البرامج المجاورة للدفاع لا يفتح فصلاً جديدًا. بدلاً من ذلك، يضيف بعض الفقرات إلى الرواية التي تزدهر على الاستمرار في حملة محسوبة وطويلة الأمد تم تضمينها بهدوء في الشبكات الغربية منذ فبراير 2026 على الأقل. التوقيت ليس من قبيل الصدفة.

يقوم هذا التحليل بتفصيل البنية التقنية لحملة Dindoor، ويفحص تطور عمليات MuddyWater، ويضع التهديد في سياق العقيدة الإلكترونية الأوسع لإيران، ويقدم للمدافعين إطارًا قائمًا على حقائق يمكن تنفيذه للاستجابة.

لا تنس قراءة مدونتنا عن "تأمين البنية التحتية الحرجة من مجموعات التهديد المتقدمة (APT) خلال الأحداث الجيوسياسية،" هنا.

من هو MuddyWater؟ جهة تهديد ترفض الصمت

الأصول والإسناد

MuddyWater (يُعرف أيضًا باسم Seedworm و TEMP.Zagros و Mango Sandstorm و TA450 و Static Kitten) كان يعمل منذ عام 2017 على الأقل، عندما رأى لأول مرة استهداف كيانات في السعودية والعراق وإسرائيل وتركيا. في فبراير 2022، نسب مكتب التحقيقات الفيدرالي وCISA وNCSC البريطاني MuddyWater بشكل مشترك إلى وزارة الأمن والاستخبارات الإيرانية.

تشمل الولاية التشغيلية للمجموعة مجموعة واسعة: جمع المعلومات، وسرقة بيانات الاعتماد، وإعداد الشبكة، وعند توجيهها، عمليات تدمير كبيرة أو مستهدفة. وعلى عكس المجموعات التي تركز على المكاسب المالية فقط، يعمل MuddyWater كجزء من جسور أوسع للسلامة الوطنية الإيرانية. تنسجم حملاته غالبًا مع الأهداف الجيوسياسية الأوسع وتكملها مجموعات APT الإيرانية الأخرى بما في ذلك OilRig (APT34) وCharming Kitten (APT42) وElfin وFox Kitten والجبهات الناشطة مثل Handala Hack وVoid Manticore.

التكرار السريع للأدوات: سمة مميزة لـ MuddyWater

ما يميز MuddyWater عن العديد من مجموعات التهديد المتقدمة هو قدرته على تعديل الأدوات وتقديم المتغيرات بسرعة. يعتمد بشكل تاريخي على الزرع القائم على PowerShell والأبواب الخلفية المخصصة مثل POWERSTATS، وقد وسع الفريق بشكل تدريجي جهوده لتطوير البرمجيات الخبيثة عبر Python وC# وGo والآن JavaScript عبر بيئة Deno. يعكس كل تكرار استجابة مدروسة لتحسين رؤية المدافع للأدوات السابقة.

التحول إلى Deno يوضح الضغط التطوري الذي استجابت له المجموعة. مراكز العمليات الأمنية (SOCs) قد بنت الآن قدرة كشف كبيرة حول تهديدات Node.js المبنية وإساءة استخدام المفسر التقليدي للبرامج النصية. عن طريق الانتقال إلى Deno الذي يعد بيئة تشغيل حديثة تركز على الأمان مع توقيع عملية مميز، يعمل MuddyWater على استغلال نقاط العمى للكشف. هذا ليس مجرد تحسين، بل تعلم عدائي على نطاق واسع.

استعداد MuddyWater لإعادة الأدوات بسرعة (حتى خلال أوقات النطاق الترددي المنخفض) هو واحدة من أهم سماته التي لا تزال غير مقدرة. المنظمات التي تعتمد على الكشف المستند إلى مؤشرات الارتباط من الحملات السابقة ستتأخر دائمًا عن الركب. ينبغي لذلك أن تكون التحليلات السلوكية هي الأساس وليس الاحتياط.

تشريح الباب الخلفي لـ Dindoor: بحث تقني عميق

لماذا Deno؟ الخيار الاستراتيجي لبيئة التشغيل

Deno هو بيئة تشغيل JavaScript وTypeScript حديثة وآمنة أقامها ريان دال (نفس المطور خلف Node.js). تم إنشاؤها خصيصًا لمعالجة أوجه القصور البنيوية لـ Node.js. يتميز بتشغيل محاصر افتراضيًا، ودعم مدمج لـ TypeScript، ونموذج قائم على الأذونات. في بيئة تطوير مشروعة، تعتبر هذه الميزات فضائل تستحق الإشادة. ولكن بالنسبة لجهة تهديد، فإنها تمثل جهازًا مثاليًا لتجنب الكش ومنهجاً.

تكاد تكون جميع أدوات الكشف عن التهديدات ونظم إدارة المعلومات والأحداث الأمنية (SIEM) معدة لمراقبة استدعاءات البيئات المشتركة مثل cmd.exe وPowerShell وpython.exe وnode.exe وwscript.exe. Deno (deno.exe) بالكاد يوجد في تلك القوائم. عندما ينفذ Dindoor عبر Deno، قد يبدو الشجرة العملية الناتجة غير عادية للمحلل المدرب ولكنها ستمر غير مكتشفة من خلال مجموعات القواعد المستندة إلى التوقيعات أو تسلسل العمليات التي لا تشتمل على Deno.

علاوة على ذلك، نظرًا لأن Deno يستخرج الوحدات من عناوين URLs بالتنفيذ العادي ويدعم واردات HTTP/S محلية، يمكن أن تكون حمولة Dindoor مضغوطة بشكل ملحوظ على القرص. أساسًا لودر نحيف يسحب وظيفته الحقيقية من البنية التحتية السحابية التي يسيطر عليها المهاجم أو التي تظهر شرعية عند وقت التنفيذ، مما يعقد التحليل الثابت بشكل كبير.

سلسلة العدوى

بينما لم يتم تحديد ناقل الوصول الأولي بدقة، رأينا في الماضي أنه في كل حادثة Dindoor، يوفر فنون التجارة الراسخة لـ MuddyWater إطار عمل واضحًا. تستخدم المجموعة في الغالب البريد الإلكتروني الموجه والعمليات الجاذبة القهرية لتأسيس مواقع متقدمة، مستهدفة الأفراد ذوي القيمة العالية بما في ذلك المسؤولين وموظفي المالية والمستخدمين أصحاب الامتيازات - مع طعوم مقنعة.

بمجرد تحقيق الوصول الأولي، تتقدم الهجمة عبر مراحل متعددة:

مشكلة إعادة استخدام الشهادة ولماذا هي نعمة للمدافعين

أحد العناصر التحليلية الأكثر أهمية في حملة Dindoor هو إعادة استخدام الشهادات الرقمية المزورة عبر عائلات البرمجيات الخبيثة المختلفة. تحتوي كل من Dindoor وFakeset على شهادات صادرة بهويات وهمية - 'Amy Cherne' و'Donald Gay'. نقدًا، ظهرت شهادة Donald Gay سابقًا في عائلات البرمجيات الخبيثة التي تم إسنادها إلى MuddyWater، تحديدًا Stagecomp وDarkcomp، التي تم تمييزها من قِبل Google وMicrosoft وKaspersky.

إعادة استخدام الشهادة هو فشل لأمن العمليات من جانب MuddyWater، لكنه فشل متكرر - مما يشير إلى أنه يعكس إما قيدًا في الموارد ضمن خط اقتناء الشهادات الخاص بهم أو نقطة عمياء تنظيمية. بالنسبة للمدافعين، يُنشئ هذا فرصة متينة للصيد: يجب اعتبار أي ثنائي موقّع بهذه الهويات الشهادية مشبوهًا بشكل فوري وأن يتم التحقيق فيه كقطعة أثر لمجموعة MuddyWater المحتملة، بغض النظر عن عائلة البرمجيات الخبيثة المحددة.

Fakeset واستراتيجية الباب الخلفي المتعدد

نشر كل من Dindoor وFakeset عبر منظمات ضحية مختلفة ليس تكرارًا - إنه اختيار معماري متعمد. من خلال الحفاظ على مجموعات أدوات منفصلة موقّعة بنفس الشهادات ولكن منفذة في لغات مختلفة (JavaScript عبر Deno مقابل Python)، يمكن لـ MuddyWater التكيف مع بيئات الأهداف المختلفة، وتجنب الكشف عن الأدوات الخاصة، والحفاظ على الاستمرارية التشغيلية حتى لو تم كشف عائلة زرع واحدة.

تم تحديد Fakeset بشكل خاص على شبكات المطارات والمنظمات غير الربحية الأمريكية - قطاعين لهما مواقف أمنية تنظيمية متميزة. تميل المطارات، كبنية تحتية حيوية، إلى أن تكون لديها تقسيمات شبكة أكثر صرامة، لكن الغرسات القائمة على Python تمتزج بسهولة في أدوات المطورين والإدارة مع سهولة مقلقة في عمليات النشر المزدوجة البيئة.

لماذا الآن؟

العمليات الإلكترونية كموازن غير متكافئ لإيران

تُفهم القدرات الإلكترونية لإيران بشكل أفضل ليس كفرع عسكري منفصل بل كأداة من الدولة، أداة مرنة، يمكن إنكاره، وقابلة للتوسع لإظهار القوة بما يتجاوز ما تسمح به الوسائل العسكرية التقليدية. عندما تواجه إيران انتكاسات كينية كبيرة، ترتفع العمليات السيبرانية بشكل تاريخي خلال فترة قصيرة من الزمن. كان النمط ثابتًا على الأقل منذ الكشف عن Stuxnet في 2010، الذي أعاد توجيه انتباه إيران نحو تطوير القدرات الإلكترونية الهجومية كأولوية أمنية وطنية جوهرية.

السياق الجيوسياسي في أوائل 2026 مليء بالأخطار غير السفلى للجميع. العقيدة الوطنية الإيرانية في هذا السيناريو واضحة: الرد عبر كل المجالات المتاحة. العمليات الإلكترونية هي الأداة غير المتكافئة الأكثر وصولاً وإنكارًا وفورية المتاحة وسوف تستخدمها إيران.

الإعداد قبل إسقاط القنابل

التفاصيل التي تتطلب الاهتمام التحليلي الأكثر خطورة هي هذه: نشاط MuddyWater على شبكات البنوك والمطارات الأمريكية وشركات البرمجيات الدفاعية بدأ في أوائل فبراير 2026 قبل أسابيع فقط من الغارات الجوية في 28 فبراير. هذا ليس رد فعل. هذا هو الإعداد.

القدرة على الإعداد بغية إرساء الوصول المستمر إلى الأهداف ذات القيمة العالية قبل حدث جيوسياسي محفز هو علامة للتغذ

الحملة Dindoor ليست مجرد عن سرقة البيانات. إنها عن الاختياري. إيران تبني نفوذ متعدد المجالات والقدرة على التسبب في الفوضى عند الطلب، في القطاعات التي تهم أكثر، عندما تستدعي الظروف الجيوسياسية ذلك. معاملة هذا كقضية تجسس عادية ستكون خطأ في التصنيف

النظام البيئي الأوسع للتهديد الإلكتروني الإيراني

لا تعمل MuddyWater بمعزل. يتضمن النظام البيئي لتهديد الإنترنت الإيراني في أوائل 2026 عدة عنقود تهديد نشطة في الوقت نفسه، لكل منها أهداف، ومجموعات أدوات، وأهداف تشغيلية مميزة:

• أغريوس: يتركز Agrius - بشكل رئيسي على العمليات التدميرية باستخدام البرامج الضارة المدمرة، تاريخيًا استهداف المنظمات الإسرائيلية.

• Rig النفطي: OilRig (APT34) - جمع معلومات الاستخبارات المعقد ضد الحكومة وقطاعات الطاقة، مع تاريخ من استهداف الشرق الأوسط والمنظمات في أمريكا الشمالية.

• الهرة الساحرة: Charming Kitten (APT42) - متخصص في حملات التصيد المتعلقة بسرقة بيانات الاعتماد والهادفة إلى الصحفيين والأكاديميين والشخصيات السياسية الذين لديهم وصول إلى معلومات حساسة.

• فوكس كيتين: Fox Kitten - معروف باختراق ثغرات VPN والاختراق الأولي لمجموعات التهديد المتقدمة الإيرانية الأخرى.

• الجبهات النشطة: Handala Hack وVoid Manticore - الجبهات النشطة التي تقوم بعمليات تخريبية ذات توجه نفسي بالتوازي مع حملات التجسس الحكومية.

يشكل التنشيط المتزامن لعدة عناقيد تهديد إلكتروني إيرانية استجابة لتصعيد جيوسياسي بيئة تهديد مكثفة تغالب المدافعين الذين يركزون على مظهر واحد من الخصوم. يجب أن تعمل فرق الأمن مع الفهم بأن اكتشاف MuddyWater قد يكون السطح المرئي لعملية تهديد إيرانية أكبر قيد التنفيذ بالفعل.

تخطيط MITRE ATT&CK: تشغيل التهديد

يتيح فهم حملة Dindoor من خلال إطار MITRE ATT&CK للمدافعين ترجمة معلومات التهديد إلى أولويات هندسة كشف التهديد. يوضح الجدول التالي الخرائط المؤكدة والمقيمة التكتيكيات والتقنيات والإجراءات الخاصة بالحملة:

يجب أن تتضمن أولويات الكشف بناءً على هذا التخطيط: تنفيذ غير طبيعي لـ Deno runtime، خروقات تخزين سحابية غير معتادة (خصوصًا إلى باك بليز أو واسابي)، تواجد Rclone في البيئات التي لا تمتلك فيها استخدامًا شرعيًا، والصيد المعتمد على الشهادات لهويات توقيع MuddyWater المعروفة.

دليل المدافع: استجابة موجهة ومحددة الأولوية

المستوى 1: إجراءات الكشف الفوري والصيد

• صيد عملية Deno: البحث عن تشغيل Deno (deno.exe) على كل الأجهزة ومن تحديد أي مثيل في بيئات لا تُعد فيها تطوير TypeScript/JavaScript وظيفة منشأة.

• تدقيق حركة المرور التخزينية السحابية: استفهام SIEM للاتصالات الخارجة إلى باك بليز (backblazeb2.com) وواسابي (wasabisys.com) لتتبعها مع الشذوذ في الوقت واليوم وهوية المستخدم وحجم البيانات.

• كشف Rclone: البحث عن تنصيب Rclone (rclone.exe) أو تشغيله، خصوصًا استدعاءات سطر الأوامر التي تشير إلى 'wasabi:' كوجهة.

• صيد الشهادات: تنفيذ الصيد القائم على الشهادات: الاستفسار عن بيئتك لأي ثنائيات موقعة بشهادات صادرة إلى 'Amy Cherne' أو 'Donald Gay' ومعالجة المطابقات على أنها مصنوعة بشكل كبير من مواد MuddyWater.

• نشر قواعد YARA: توزيع قواعد YARA لعائلات البرمجيات الخبيثة Dindoor (SHA-256: 0f9cf1cf8d641562053ce533aaa413754db88e60404cab6bbaa11f2b2491d542) وFakeset عبر منصات EDR.

المستوى 2: الضوابط المعمارية والسياساتية

• تقييد بيئة التشغيل القائمة: تنفيذ سياسات القائمة البيضاء للتطبيقات التي ترفض بوضوح تشغيل البيئات غير المعتمدة، بما في ذلك Deno. مراجعة قائمتك المعتمدة للبيئات مقابل احتياجات الأدوات الحالية للتطوير.

• تعزيز المصادقة متعددة العوامل: فرض مصادقة مقاوِمة للتصيد (FIDO2/WebAuthn) عبر جميع الحسابات المتميزة. يعتمد خط أنابيب سرقة بيانات الاعتماد الخاص بـ MuddyWater على اختراق الحسابات التي تبقى محمية فقط بعوامل MFA التقليدية.

• فلترة مخارجية: مراجعة وتضييق قواعد جدار الحماية الخارجية لتتطلب الموافقة الصريحة لحركة المرور السحابية إلى موفري التخزين السحابي غير المدرجين في قائمة الموردين الموافق عليهم.

• تقسيم الشبكة: تنفيذ ضوابط تقسيم الشبكة التي تمنع الحركة الجانبية من الأجهزة المخترقة إلى الأنظمة الحساسة وخصوصًا بين الشبكات الشركات والتكنولوجيا التشغيلية (OT) في المطارات والبيئات الصناعية.

• تمارين الطاولة: إجراء تدريبات الطاولة التي تحاكي سيناريو استعداد APT الإيراني المحدد الأحداث الانتقالية من الجمع السلبي إلى الحركة التدميرية لاختبار استجابة الحوادث لديك.

المستوى 3: دمج معلومات التهديد

• تغذية معلومات التهديد: الاشتراك في تغذيات معلومات التهديد التي توفر مؤشرات شبه حية من حملات MuddyWater مثل من Shieldworkz.

• تحديد أولويات الثغرات الأمنية: التحديث بشكل نشط ضد CVEs المعروفة التي يستغلها APTs الإيرانيون، مع أولوية على CVE-2017-7921 وCVE-2023-6895 وCVE-2021-36260 وCVE-2025-34067 وCVE-2021-33044.

• تكامل IOCs: دمج مؤشرات البنية التحتية للسيطرة المعلومة لـ MuddyWater، بما في ذلك عناوين URL لدلوات باك بليز وواسابي الخاصة المحددة في تقارير Symantec، إلى نظام SIEM ومنصات فلترة DNS الخاصة بك.

 ما هو مسار مجموعة التهديد المتقدمة الإيرانية في المستقبل

السحابة كدرع وسيف على السواء

ربما يكون الجانب الأكثر أهمية استراتيجيًا في حملة Dindoor هو تبني MuddyWater للخدمات السحابية الشرعية كوسيلة للتوصيل وقناة للتسريب. تعد Backblaze وWasabi خدمات تخزين سحابية تجارية شرعية تُستخدم من قبل ملايين الشركات عالميًا. تقريباً تُسمح حركة مرورها في بيئات الشبكة المؤسسية.

من خلال توجيه توصيل البرمجيات الخبيثة وتسريب البيانات عبر هذه المنصات، فإن MuddyWater يسخر الثقة التي تمدها المنظمات إلى الخدمات السحابية كميتفاعل تشغيلي. هذا ليس مفهومًا جديدًا - لقد تم رصده في حملات APT متعددة خلال السنوات الخمس الماضية - لكن تطبيق MuddyWater له يشير الى اتجاه أوسع: محيط السحابة يصبح ساحة المعركة الأساسية للتهديدات المستمرة المتطورة، والدفاعات التقليدية على مستوى الشبكة ليست كافية بمفردها.

العيش من الأرض، ولكن على ارتفاع أعلى بكثير

يعد استخدام Deno إلى جانب أداة Rclone تباينًا متطورًا لأساليب العيش من الأرض (LotL). بدلاً من إساءة استخدام المرافق المبنية داخل Windows مثل wmic.exe أو certutil.exe التي تم مراقبتها الآن بشكل كبير، يستغل MuddyWater شرعية أدوات المطورين مفتوحة المصدر عبر الأنظمة الأساسية التي أصبحت بشكل متزايد متواجدة في البيئات المؤسسية الحديثة. يشير هذا إلى نضج في منهجية LotL الإيرانية: الانتقال من إساءة استخدام الثنائيات الأصلية لنظام التشغيل إلى إساءة استخدام الأدوات الأصلية للنظام البيئي.

إن المدلول بالنسبة للمدافعين ذو أهمية كبيرة: يجب أن تتطور هندسة الكشف الخاصة بك من 'ما هي ثنائيات Windows التي يتم إساءتها' إلى 'ما هي الأدوات المشروعة في أي مكان في بيئتنا يمكن تسليحها، وهل نحن نراقب سياق تنفيذها عن كثب بما يكفي لتمييز الاستخدام الشرعي عن الاستخدام الضار؟'

خطر الانعطاف من التجسس إلى التخريب

تتضمن كل اختراق مؤكدة لـMuddyWater في هذه الحملة شبكة يبدو أن الهدف الأولي منها هو جمع المعلومات. لكن الوصول المحدد للأهداف التجارية لجمع المعلومات هو نقطة الوصول المحددة الأكثر توظيفًا للهدم. الفرق هو النية - والنية لا يمكن ملاحظتها من خلال الترميز الشبكي وحده.

تاريخ إيران في العمليات السيبرانية يتضمن حملات تخريبية: Shamoon ضد أرامكو السعودية في عام 2012، حملات DDoS ضد المؤسسات المالية الأمريكية في عملية Ababil، ومؤخراً الهجمات التخريبية المنسوبة إلى Agrius ضد الأهداف الإسرائيلية. الدرس المستفاد من هذا التاريخ هو أن الجهات السيبرانية الإيرانية لا تميز دائمًا بين التجسس والتخريب. بدلاً من ذلك، يتغيرون في الوضع استجابةً للاتجاهات السياسية.

المنظمات المخترقة حاليًا من قبل Dindoor وFakeset والتي تشمل بنكًا، مطارًا، وموردي برامج القطاع الدفاعي هي بالضبط أنواع الأهداف التي ستكون جزءًا من عملية سيبرانية إيرانية تخريبية تهدف إلى زيادة التأثير النفسي والاقتصادي على الولايات المتحدة. هذا ليس خطراً نظرياً. إنه خطر مباشر وحاضر.

تهديد دائم

حملة Dindoor ليست حادثاً منفصلاً. إنها نقطة بيانات ضمن نمط طويل الأمد من العمليات السيبرانية الإيرانية ضد الأهداف الغربية - نمط يزداد دائماً مع كل نقطة اشتعال جيوسياسية ولا يظهر أي علامة على الانخفاض.

يشير توزيع MuddyWater لبرنامج جديد مستند إلى Deno، واستخدامه المتزامن لعائلة زرع Python، واعتماده على الخدمات السحابية الشرعية لكل من التوصيل والتسرب، واهتمامه الدقيق بجعل الظهور الشرعية على البرمجيات إلى صورة معادية منهجية، متكيفة، وصبورة. هذه ليست خصائص لتهديد سيتم تحييده بتدبير دفاعي واحد أو تطور جيوسياسي وحيد.

يجب أن تعامل المنظمات، وخاصة تلك التي تعمل في خدمات المالية والطيران والبنية التحتية الحرجة والتعاقد مع الدفاع، التهديد السيبراني الإيراني كميزة هيكلية ودائمة في مشهد مخاطرتهم وليس مجرد قلق دوري ليتم التعامل معه عندما يظهر عنوان حملة جديد. الاستثمار في كشف السلوك، والتحكم في التهديدات، ورؤية حركة السحابة المرئية، وتكامل المعلومات الاستخبارية المستمرة للتهديد ليس أمرًا اختياريًا. إنه تكلفة العمليات في عالم قرر فيه الخصوم بهذه التطور أنك هدف بالفعل.

الجهات الفاعلة في التهديد الإيرانية لم تعد. لم يرحلوا أبدًا. السؤال هو ما إذا كانت منظمتك مستعدة لما هو قادم.

طلب إحاطة.

موارد إضافية:
قائمة التحقق الخاصة بتقييم المخاطر وفقًا لـ IEC 62443 لعمليات المطارات والبنية التحتية الحرجة
قائمة التحقق لاستجابة الحوادث في التكنولوجيا التشغيلية (OT)
قائمة التحقق الميدانية لتقييم مخاطر الأمن السيبراني للـ IEC 62443 لحقول النفط والغاز

إرشادات موقف الدفاع للمؤسسات في الشرق الأوسط