كشفت تقارير أمنية حديثة عن هجوم سيبراني متطور استهدف مسؤولين حكوميين في العراق، حيث استغل المهاجمون تقنيات الهندسة الاجتماعية المتطورة وبرمجيات خبيثة جديدة. ويُشير المحللون إلى أن هذا الهجوم، الذي وقع في يناير 2026، تم بتوجيه من جهة مرتبطة بإيران، ويُعرف هذا النشاط باسم Dust Specter.
وتمكنت الحملة السيبرانية التي نفذتها مجموعة Dust Specter من خداع كبار المسؤولين وانتحال صفة وزارة الخارجية العراقية، ما دفع المستهدفين إلى تنزيل ملفات مشبوهة. وقد أظهر الهجوم استخدام أربع أدوات برمجية خبيثة جديدة، لم يسبق توثيقها، وهي SPLITDROP، TWINTASK، TWINTALK، و GHOSTFORM.
Dust Specter: أدوات برمجية مبتكرة تستهدف المسؤولين العراقيين
يعكس استخدام هذه الأدوات في هجمات Dust Specter مستوى عالٍ من الاحترافية والخبرة، مما يدعم الربط بينها وبين جهات فاعلة مدعومة من دول. وتستند هذه التقارير بشبهة قوية وصولاً إلى درجة متوسطة إلى عالية، إلى تداخلات مستمرة في الأدوات، والتقنيات، واختيار الضحايا، مع مجموعات تهديد إيرانية معروفة.
كانت سلسلة الهجمات الأولى لمجموعة Dust Specter تعتمد على إرسال أرشيف مضغوط بصيغة RAR ومحمي بكلمة مرور، يحمل اسم “mofa-Network-code.rar”. وتم تصميمه ليبدو كوثيقة رسمية صادرة عن الوزارة، لخداع المستهدفين.
وعند فتح الملف، يتم تشغيل برنامج ثنائي مكتوب بلغة .NET، يتنكر تحت اسم تطبيق WinRAR. يعرف هذا البرنامج بـ SPLITDROP، ويقوم بفك تشفير حمولة خبيثة مضمنة باستخدام تشفير AES-256، ثم يضع ملفات ضارة على جهاز الضحية. وخلال هذه العملية، يعرض SPLITDROP رسالة خطأ زائفة مفادها “لم يكتمل التنزيل بنجاح”، بينما يعمل خلسة دون أن يشعر به المستخدم.
استغلال نماذج جوجل وواجهات محاكاة
من جانب آخر، استخدمت سلسلة هجمات أخرى أداة GHOSTFORM، حيث فتحت نموذج استطلاع زائف عبر جوجل باللغة العربية، متنكراً كسؤال استبيان حكومي. هذا التكتيك سمح للمتسللين بتشغيل البرمجيات الخبيثة دون أن يتم اكتشافها.
وقد لاحظ باحثو Zscaler ThreatLabz بصمات في شفرة المصدر تشير إلى استخدام الذكاء الاصطناعي التوليدي خلال تطوير البرمجيات الخبيثة. ووجدت رموز تعبيرية وأحرف يونيكود تم تضمينها داخل شفرة المصدر لكل من TWINTALK و GHOSTFORM، تتوافق مع نمط مرتبط بالبرمجة التي يولدها الذكاء الاصطناعي.