كشفت تسريبات حديثة صادرة عن مجموعة “Charming Kitten” الإيرانية المدعومة من الدولة، والتي تعرف أيضاً باسم APT35، عن معلومات هامة حول موظفين رئيسيين وشركات واجهة وآلاف الأنظمة المخترقة في خمس قارات. هذه التسريبات تلقي ضوءاً كاشفاً على العمليات السيبرانية المعقدة التي تقوم بها المجموعة.
تُظهر الملفات الداخلية المسربة أن “إدارة 40” التابعة لمنظمة استخبارات الحرس الثوري الإيراني تشرف على حملات اختراق طويلة الأمد. تجمع هذه الحملات بين التجسس السيبراني وعمليات المراقبة والاستهداف، مما يعكس استراتيجية متكاملة.
وفقاً لهذه التسريبات، تم ربط أسماء مشغّلين محددين بأنشطة قرصنة معينة، بدلاً من الاكتفاء بتسميات التهديد المجهولة، وذلك من خلال سجلات لوحات التحكم وسجلات الرواتب المسروقة.
تُفصّل التسريبات كذلك الهيكل المالي الذي يدعم هذه العمليات، بما في ذلك قسائم الرواتب لفريقي “الأخوات” و”الإخوة”. كما تكشف عن تدفقات مالية تمر عبر شركات واجهة تبدو كمزودي خدمات تقنية معلومات أو سحابية عادية، مما يزيد من صعوبة تتبع المصدر المالي.
Charming Kitten: كشف تفاصيل عمليات التجسس الإلكتروني الإيرانية
شملت الأنظمة المخترقة بوابات الشبكات الافتراضية (VPN)، وخوادم البريد الإلكتروني، وعقد التحكم والإدارة (C2). تُستخدم هذه الأنظمة لتوجيه البرمجيات الخبيثة التي تم زرعها بالفعل داخل مكاتب حكومية، وجامعات، ومزودي اتصالات.
ونتيجة لذلك، تتكشف صورة واضحة لكيفية تلاقي الأموال، والإدارة، والبرمجيات الخبيثة في نظام واحد متكامل.
وأشار الباحث الأمني ناريمان غريب إلى أن المواد المسربة تكشف أيضاً عن أوراق المهام وقوائم الأهداف التي تربط برمجيات Charming Kitten الخبيثة بشبكات دبلوماسية، وقطاعات الطاقة، ومنظمات المجتمع المدني. هذا الربط المباشر يؤكد على الطبيعة المستهدفة لعمليات القرصنة.
عادةً ما تصل البرمجيات الخبيثة عبر رسائل التصيد الاحتيالي الموجهة (spear-phishing)، وصفحات تسجيل دخول وهمية، أو مرفقات مستندات خبيثة تقلد دعوات اجتماعات، أو قسائم رواتب، أو وثائق سياسات. هذا التمويه يهدف إلى خداع المستلمين.
بمجرد أن يفتح المستخدم الطعم ويقوم بتمكين البرامج النصية أو إدخال بيانات الاعتماد، يحصل المشغلون على موطئ قدم أولي، مما يؤدي إلى السيطرة الكاملة على الجهاز وسرقة البيانات. هذا التسلل الأولي يفتح الباب أمام اختراقات أعمق.
آليات الاختراق والتحكم
تُظهر سجلات البيانات من لوحات التحكم المسربة بيانات “إشارات” من المضيفين الضحايا تعود في فترات منتظمة إلى خوادم خاضعة للسيطرة الإيرانية عبر بروتوكول HTTPS. غالباً ما تكون هذه الإشارات مخفية ضمن ما يبدو حركة مرور ويب عادية، مما يصعب اكتشافها.
تتواجد هذه الأنظمة المخترقة داخل بوابات البريد الإلكتروني، ومتحكمات النطاق، وأجهزة الكمبيوتر المحمولة للمستخدمين، مما يمنح المشغلين وصولاً إلى البريد الإلكتروني، ومشاركات الملفات، وأنظمة الهوية. يبرز التقرير المسرب مجموعات من الأجهزة المصابة المجمعة حسب المنطقة والقطاع، مما يؤكد مدى انتشار الحملة.
غالباً ما يبدأ الاختراق ببرنامج تحميل صغير يعمل في الذاكرة بعد أن يفتح المستخدم تلاوة ماكرو (macro lure) أو تلاوة HTML. تقوم أوامر PowerShell قصيرة بسحب الحمولة الأساسية من عنوان URL ثابت ولكنه مخفي، وهو ما تم توثيقه الآن في تحليل فني كامل لأدوات Charming Kitten.
تُظهر السجلات من التسريب هذا الثنائي (binary) وهو يعمل كمهمة مجدولة، مما يوفر وصولاً مستقراً مع الاندماج في نشاط Windows العادي. هذا يضمن بقاء البرمجيات الخبيثة نشطة دون إثارة الشكوك.