كشفت تقارير صادرة عن ثلاث منظمات متخصصة في الأمن السيبراني عن حملة تجسس رقمي تستهدف صحافيين ونشطاء في منطقة الشرق الأوسط وشمال أفريقيا، باستخدام برمجيات تجسس متطورة. وتشير البنية التحتية المشتركة للحملة إلى ارتباطها بمجموعة تهديد سيبراني متقدم تُعرف باسم ” Bitter”، التي تستهدف بشكل متكرر قطاعات حكومية وعسكرية ودبلوماسية وبنى تحتية حيوية في جنوب آسيا.
وفقاً لهذه المنظمات، وهي Access Now و Lookout و SMEX، تضمنت الحملة هجمات تصيد متقدمة، مستهدفة بشكل خاص الأصوات الصحفية والمدنية في المنطقة. وقد تم نشر تقاريرهم بالتزامن، مسلطين الضوء على الطبيعة المتطورة والتأثير المحتمل لهذه الهجمات على حرية الإعلام والعمل المدني.
حملة تجسس تستهدف صحافيين في الشرق الأوسط وشمال أفريقيا
بدأت القصة عندما تلقت منظمة Access Now بلاغات عبر خطها المساعدة حول حملات تصيد احتيالي (spearphishing) استمرت خلال عامي 2023 و2024. وعند فحص البرمجيات الخبيثة التي تم اكتشافها، طلبت المنظمة الدعم التقني من Lookout. جاءت النتائج التقنية من Lookout لتنسب البرمجيات الخبيثة إلى مجموعة Bitter، وتشير إلى كونها حملة “هاك مقابل أجر” (hack-for-hire) تستخدم برمجيات تجسس أندرويد تُعرف باسم ProSpy.
من جهتها، تعمقت منظمة SMEX في تفاصيل حملة تصيد استهدفت صحافياً لبنانياً بارزاً العام الماضي. ومن خلال التعاون مع Access Now، اكتشفت SMEX وجود بنية تحتية مشتركة بين الحملتين، مما يعزز فرضية التنسيق والتخطيط المسبق.
شهادات الضحايا وتأثير التهديد
أحد المتضررين من هذه الحملة هو الصحفي المصري المستقل، مصطفى الأعصر. قال الأعصر إنه تواصل مع Access Now بعد تلقي رابط مشبوه من شخص كان يتحدث معه بشأن فرصة عمل. وأضاف أنه كان متشككاً بالفعل، خاصة وأن هاتفه تعرض للاستهداف من قبل، وتحديداً خلال اعتقاله في مصر عام 2018. ويؤكد الأعصر على أن الأمن السيبراني “ليس رفاهية” للصالحين المدنيين والصحفيين.
عبر الأعصر عن شعوره بـ “التهديد المستمر”، قائلاً “أشعر وكأنهم ما زالوا يلاحقونني” حتى وهو يعيش في المنفى. كما أبدى قلقه على سلامة عائلته وأصدقائه ومصادره.
نطاق الحملة ونتائجها
خلصت الأبحاث المشتركة إلى أن الحملة تمتد إلى نطاق أوسع مما تم اكتشافه في البداية. ووفقاً لتقرير Lookout، فإن هذه “الحملة الاستخباراتية كانت نشطة منذ عام 2022 حتى الآن، مستهدفة بشكل أساسي أعضاء المجتمع المدني وربما مسؤولين حكوميين في الشرق الأوسط. تعتمد العملية على مزيج من التصيد الاحتيالي المستهدف، الذي يتم تقديمه عبر حسابات وهمية على وسائل التواصل الاجتماعي وتطبيقات المراسلة، مع استغلال مستمر للهندسة الاجتماعية، مما قد يؤدي إلى توصيل برمجيات تجسس أندرويد اعتماداً على الجهاز المستهدف.”
إدانات دولية ومطالبات بالتحقيق
أدانت لجنة حماية الصحفيين بشدة هذه الحملة، حيث صرحت مديرة اللجنة الإقليمية، سارة قُدّاح، بأن “التجسس على الصحفيين غالباً ما يكون الخطوة الأولى في نمط أوسع من الترهيب والتهديدات والهجمات”. وأضافت أن هذه الأفعال لا تعرض السلامة الشخصية للصحفيين للخطر فحسب، بل تعرض مصادرهم وقدرتهم على أداء عملهم للخطر أيضاً. وتطالب اللجنة “السلطات في المنطقة بوقف استخدام التكنولوجيا والموارد المالية كسلاح لمراقبة الصحفيين”.
تجدر الإشارة إلى أن منظمة Access Now لم يكن لديها معلومات كافية لتحديد الجهة المسؤولة بشكل قاطع عن الهجمات التي تم رصدها. وكانت شركة ESET قد نشرت في العام الماضي أبحاثاً حول برمجيات ProSpy الخبيثة، بعد اكتشافها تستهدف سكان دولة الإمارات العربية المتحدة.