كشفت تقارير أمنية حديثة عن تكثيف مقلق للعمليات السيبرانية مرتبطة بإيران، حيث تمكنت جهات فاعلة مدعومة من طهران من تأسيس وجود لها في شبكات أمريكية وكندية، بالتزامن مع استهداف كاميرات المراقبة في الشرق الأوسط لجمع معلومات استخباراتية ميدانية. تأتي هذه التطورات في وقت حساس، مما يثير تساؤلات حول الأهداف الاستراتيجية لهذه الهجمات.
تركز الجهود الإيرانية، وفقًا لمرصد “سايبرس سيكيوريتي نيوز”، على تثبيت وجود طويل الأمد داخل أهداف استراتيجية. تشمل هذه الأهداف قطاعات حيوية مثل المصارف، والطيران، وسلاسل توريد الدفاع، إضافة إلى المنظمات غير الربحية، مما يشير إلى خطة ممنهجة لجمع المعلومات.
التسلل إلى الشبكات الأمريكية والكندية
أظهرت تحقيقات أجرتها شركتا “سيمانتك” و”كربون بلاك” أن مجموعة “مادي ووتر” (MuddyWater)، المرتبطة بوزارة الاستخبارات والأمن الإيرانية، نجحت في الحفاظ على وصول غير مصرح به إلى منظمات أمريكية متعددة منذ فبراير 2026. استخدمت المجموعة برمجيات خبيثة غير موثقة لضمان استمرارية وجودها داخل البيئات المستهدفة.
وكشف محللو “بولي سارم” عن عائلات متعددة من البرمجيات الخبيثة استُخدمت في استهداف الكيانات الأمريكية. من بين هذه الأدوات، برزت برمجيات مثل “دين دور” (Dindoor) و”فيكسيت” (Fakeset)، وهما مصممان للبقاء متخفيين وتأسيس وصول دائم.
تفاصيل البرمجيات الخبيثة
تم نشر برنامج “دين دور” الخبيث داخل شبكة شركة برمجيات أمريكية تخدم عملاء في قطاعي الدفاع والفضاء. استغل هذا البرنامج بيئة تشغيل “دينو” (Deno) لتنفيذ الأوامر والحفاظ على الوصول.
أما “فيكسيت”، وهو برنامج خبيث يعتمد على لغة بايثون، فقد تم اكتشافه في شبكات مطار أمريكي ومنظمة غير ربحية. تهدف كلتا الأداتين إلى تحقيق اختراق طويل الأمد والتمويه بفعالية.
استهداف كاميرات المراقبة لأغراض استخباراتية
بالتوازي مع التسلل الشبكي، أطلقت بنية تحتية مرتبطة بإيران موجة من عمليات المسح تستهدف كاميرات المراقبة المتصلة بالإنترنت في الشرق الأوسط، بدءًا من 28 فبراير 2026. لوحظ هذا النشاط المتزايد في محاولات الاستغلال من قبل “تشيك بوينت ريسيرش”.
استهدفت هذه الهجمات بشكل خاص كاميرات من نوع “هايك فيجن” (Hikvision) و”دهاوا” (Dahua)، المنتشرة في البيئات التجارية والحكومية والبلدية في المنطقة. شملت الدول المستهدفة إسرائيل وقطر والبحرين والكويت والإمارات العربية المتحدة ولبنان وقبرص.
استراتيجية استخباراتية ميدانية
تزامنت هذه الهجمات مع بداية تصعيد إقليمي، مما يجعل استهداف كاميرات المراقبة جزءًا أساسيًا من استراتيجية إيران لجمع المعلومات الاستخباراتية الميدانية. من خلال اختراق هذه الأجهزة، يمكن للمهاجمين مراقبة المواقع وتتبع تحركات الاستجابة للطوارئ وتقييم الأضرار.
وتشير التقارير إلى أن هذا التكتيك قد تم استخدامه سابقًا، مما يدل على اعتباره أداة استخباراتية موثوقة ومنخفضة التكلفة. غالبًا ما تعمل هذه الأجهزة ببرامج قديمة وتكشف عن ثغرات أمنية معروفة.
في تطور منفصل، أعلنت مجموعة “هاندالا” (Handala) الهاكتيفية المرتبطة بإيران مسؤوليتها عن هجوم سيبراني مدمر استهدف شركة “سترايكر” (Stryker)، وهي شركة عالمية في مجال التكنولوجيا الطبية. أفاد المهاجمون بتسريب حوالي 50 تيرابايت من البيانات قبل نشر برامج ماسحة للملفات على شبكة الشركة.
أدت هذه الهجمات إلى محو بيانات من أجهزة الكمبيوتر المحمولة والأجهزة المحمولة لبعض المواقع، مما أجبر بعض المرافق على العودة إلى العمليات اليدوية. يؤكد هذا الهجوم على الدور المتزايد للمجموعات الوكيلة المرتبطة بإيران في العمليات السيبرانية الأوسع.