كشفت وثائق مسربة أن مجموعة APT35، المعروفة أيضاً باسم “Charming Kitten“، وهي ذراع سيبراني تابع لمنظمة استخبارات الحرس الثوري الإيراني، تتّبع أساليب منظمة ودقيقة في عمليات التجسس الإلكتروني. وقد سُمح لهذه الوثائق، التي تعود إلى أكتوبر 2025، بإلقاء نظرة شاملة على استراتيجيات المجموعة، مستهدفاتها، وطرق هجماتها.
تُظهر آلاف الوثائق المسربة، بما في ذلك تقارير الأداء، أدلة فنية، وسجلات عمليات، منهجية المنظمة في استهداف الحكومات والشركات في منطقة الشرق الأوسط وآسيا. هذه المعلومات ترسم صورة واضحة لكيفية قيام هذه المجموعة المدعومة من دولة بتنفيذ عمليات تجسس إلكتروني واسعة النطاق.
من جهة أخرى، تعمل المجموعة أشبه بمنظمة عسكرية تقليدية، مقارنة بمنظمات القرصنة العشوائية. حيث يحتفظ محللو الأمن السيبراني في DomainTools بأنظمة تفصيلية لتتبع أداء الأفراد، تشمل تسجيل ساعات العمل، المهام المنجزة، ونسب النجاح.
تتضمن هذه الهيكلية البيروقراطية فرقاً متخصصة في تطوير الثغرات، جمع بيانات الاعتماد، عمليات التصيد الاحتيالي، ومراقبة البريد الإلكتروني في الوقت الفعلي لجمع المعلومات الاستخباراتية البشرية. وتتميز أساليب الهجوم الموثقة داخل هذه الملفات بأنها منهجية ومنظمة للغاية.
تكمن الأساليب الأساسية للمجموعة في استهداف خوادم Microsoft Exchange عبر سلاسل استغلال ProxyShell، بالاشتراك مع خدمات Autodiscover و EWS، لاستخلاص قوائم العناوين الشاملة (Global Address Lists) التي تحتوي على معلومات الاتصال الخاصة بالموظفين.
وتُعد قوائم الاتصال هذه الأساس لحملات تصيد احتيالي موجهة تهدف إلى جمع بيانات الاعتماد. وبعد الدخول الأولي، تستخدم المجموعة أدوات مطورة خصيصاً لإنشاء وصول مستمر ولسرقة بيانات اعتماد إضافية من ذاكرة الكمبيوتر، مستخدمة تقنيات مشابهة لأداة Mimikatz.
تمتد النطاقات الجغرافية لهذه العمليات عبر مناطق استراتيجية متعددة. تشمل الجهات المستهدفة وزارات حكومية، شركات اتصالات، وكالات جمارك، وشركات طاقة في تركيا، لبنان، الكويت، المملكة العربية السعودية، كوريا الجنوبية، وإيران.
منهجية APT35 في استهداف بيانات الاعتماد
تُظهر البنية التحتية التقنية التي تدعم عمليات APT35 فهماً متطوراً لأنظمة البريد الإلكتروني الخاصة بالشركات. تقوم المجموعة بتسليح ثغرات Exchange عبر تسلسل استغلال منسق يبدأ بمسح استطلاعي لتحديد الخوادم الضعيفة.
بمجرد تحديد الأهداف المناسبة، يقوم المشغلون بنشر “webshells” متنكرة كملفات نظام شرعية لإنشاء قدرات تنفيذ أوامر عن بعد. هذه الـ webshells، التي غالباً ما تسمّى بنمط m0s.*، توفر واجهات أوامر تفاعلية يصل إليها المشغلون عبر رؤوس HTTP مصممة خصيصاً.
تتضمن أدوات العميل المستندة إلى Python التي يستخدمها المشغلون تشفير الأوامر ضمن رؤوس Accept-Language، واستخدام رمز ثابت للمصادقة، مما يخلق قناة اتصال سرية تندمج مع حركة مرور الشبكة الشرعية.
بعد الدخول الأولي، تقوم المجموعة باستخلاص قائمة العناوين الشاملة من خوادم Exchange، وتحويل معلومات الاتصال بالبريد الإلكتروني إلى بيانات منظمة لعمليات التصيد الاحتيالي اللاحقة. ويتم التحقق فوراً من بيانات الاعتماد التي تم جمعها وإعادة استخدامها عبر أنظمة أخرى داخل شبكة الهدف.
تصف الوثائق المسربة نصوصاً برمجية مؤتمتة تتحقق من صلاحية الـ shells وتستخرج محتويات صندوق البريد دون تدخل بشري، مما يدل على نضج القدرات المطورة. تتبع العملية بأكملها قوالب موحدة موثقة في كتيبات العمل الداخلية، مع تسجيل مقاييس النجاح في تقارير الأداء الشهرية.
يعكس هذا النهج المنهجي في اختراق Exchange، واستخلاص بيانات الاعتماد، ودمج التصيد الاحتيالي، كيفية تحويل APT35 للثغرات التقنية إلى عمليات جمع استخبارات مستدامة، يتم قياسها بكميات قابلة للقياس بدلاً من الفرص العشوائية.