كشفت تحقيقات حديثة أن وزارة الاستخبارات والأمن الإيرانية (MOIS) تقف وراء حملة سيبرانية منسقة ومعقدة، تستخدم ثلاث هويات منفصلة للمتسللين. تم إطلاق هذه الهويات، المعروفة باسم “العدالة الوطنية” (Homeland Justice)، و”كارما/كارما بيلو80″ (Karma/KarmaBelow80)، و”حنظلة” (Handala)، في البداية كمجموعات قراصنة مستقلة.
ولكن، أظهر تحقيق مفصل أن هذه الكيانات تعمل في الواقع كوحدة واحدة، تحت إشراف مباشر من الحكومة الإيرانية. تهدف الحملة إلى دمج الاختراقات السيبرانية، وسرقة البيانات الحساسة، وتنفيذ هجمات مدمرة، وعمليات التأثير النفسي، لخلق استراتيجية موحدة تستهدف الحكومات والمؤسسات في مختلف دول العالم.
عمليات “MOIS” السيبرانية: تطور من الهجمات إلى التأثير
بدأت هذه القصة في عام 2022 عندما شنّت مجموعة باسم “العدالة الوطنية” سلسلة من الهجمات على حكومة ألبانيا. اللافت للنظر في هذه العملية كان مستوى التخطيط المسبق، حيث تمكنت الجهات الإيرانية الفاعلة من الوصول إلى أنظمة الحكومة الألبانية قبل حوالي أربعة عشر شهرًا من الإعلان العام عن هجماتها.
استغلت هذه الجهات هذا الوصول لسرقة مستندات حساسة، ونشر أدوات تدميرية، والإعلان عن سيطرتها على الأضرار التي لحقت. هذا المزيج من الاختراق الرقمي والتواصل العام المدروس حول الهجوم التقني إلى حدث تأثير سياسي له تداعيات جيوسياسية كبيرة.
لاحقاً، لاحظ محللون في DomainTools أن نفس الجهة الفاعلة تحولت إلى هوية جديدة باسم “كارما”، ثم “كارما بيلو80″، مع التركيز على المنظمات الإسرائيلية في أواخر عام 2023. التشابه في الأدوات المستخدمة، والبنية التحتية، وطرق الهجوم، إلى جانب الاستخدام المتكرر لتطبيق تلغرام للتواصل و”القيادة والسيطرة” (C2)، منح المحللين ثقة عالية في ربط هذه المجموعات بعملية واحدة تحت إشراف MOIS.
مع حلول عام 2024 واستمراراً في 2026، تطورت العملية تحت شعار “حنظلة”، مستفيدة من شخصية حنظلة الكرتونية الفلسطينية الشهيرة. ركزت هوية حنظلة بشكل كبير على عمليات المعلومات، بما في ذلك تسريب بيانات منتقاة واستهداف الصحفيين والمعارضين والأفراد المرتبطين بإسرائيل.
في مارس 2026، استجابت وزارة العدل الأمريكية، معلنةً الاستيلاء على أربعة نطاقات مرتبطة بهذه الحملات: Handala-Hack.to، Karmabelow80.org، Justicehomeland.org، و Handala-Redwanted.to. كانت هذه النطاقات تستخدم بفاعلية لنشر البيانات المسروقة، والإعلان عن المسؤولية عن الهجمات، والدعوة للعنف ضد أفراد محددين.
تُعرف الجهة الفاعلة الرئيسية باسم “Void Manticore” لدى الباحثين الأمنيين، وتُشار إليها أيضاً باسم “MOIST GRASSHOPPER” في تقارير DomainTools. ترتبط هذه المجموعة مباشرة بوزارة الاستخبارات والأمن الإيرانية، وتمثل أحد أكثر الأنظمة السيبرانية للتأثير المرتبطة بدولة نشطة حالياً.
تتجاوز أساليب هذه المجموعة مجرد الاختراق البسيط، حيث تجمع بين الوصول طويل الأمد للشبكات والضغوط النفسية، واستخدام البيانات كسلاح، والإصدارات العامة المدروسة زمنياً، والمصممة لتشكيل الرأي العام والسلوك في البلدان المستهدفة.
تكتيكات البنية التحتية المتعددة الشخصيات والخداع
أحد أبرز جوانب هذه الحملة هو كيفية استخدامها لهويات تجارية متعددة لخدمة أهداف تشغيلية متميزة، مع مشاركة بنية تحتية خلفية واحدة. تتولى “العدالة الوطنية” العمليات التدميرية ضد ألبانيا، بينما استهدفت “كارما” و”كارما بيلو80″ كيانات إسرائيلية خلال فترة محددة، فيما تعمل “حنظلة” الآن كأداة رئيسية للتأثير وحرب المعلومات.
يتيح هذا الهيكل لخدمة الاستخبارات الإيرانية تقسيم رسائلها وأهدافها، مع الحفاظ على مظهر مجموعات قراصنة مستقلة وغير مرتبطة تماماً. تشمل البنية التحتية التقنية التي تربط هذه الشخصيات أنماط الاستضافة المشتركة، وتداخل سلوكيات تسجيل النطاقات، وإعادة استخدام نفس مكونات البرمجيات الخبيثة عبر العمليات.
نشرت المجموعة أدوات لمسح البيانات بشكل دائم (wiper tools)، إلى جانب تشفير يشبه برامج الفدية (ransomware) المستخدم ليس لتحقيق مكاسب مالية، بل لزيادة تعطيل العمليات التشغيلية إلى أقصى حد. ظهرت أدوات مثل Rhadamanthys، وهي برامج لسرقة المعلومات متاحة تجارياً في منتديات الويب المظلم، في عمليات مرتبطة بـ “حنظلة”، مقترنة بأدوات مسح بيانات مخصصة في حملات التصيد الاحتيالي التي انتحلت صفة تحديثات برمجية من بائعين مثل F5.
توصي المنظمات الأمنية والوكالات الحكومية بمراقبة الاستغلال المشبوه للخدمات المكشوفة على الإنترنت، مثل Microsoft SharePoint، وهو الدخول الأولي المستخدم في حملة ألبانيا. ينبغي على المؤسسات تطبيق تجزئة صارمة للشبكات، ومراجعة نشاط الحسابات المميزة بانتظام، ونشر أدوات الكشف عن نقاط النهاية القادرة على تحديد سلوك الاختراق اليدوي.
يجب على فرق الاستخبارات التهديدات مراقبة البنية التحتية للنطاقات المرتبطة بـ MOIST GRASSHOPPER وحظر النطاقات التي تم تحديدها في استيلاء وزارة العدل في مارس 2026 لتقليل التعرض المستمر.