كشف تقرير حديث عن تصعيد كبير في عمليات التجسس السيبراني التي تنفذها مجموعة Boggy Serpens، وهي جهة فاعلة مدعومة من دولة إيرانية، تستهدف بشكل متعمد البعثات الدبلوماسية وشركات الطاقة والمشغلين البحريين والمؤسسات المالية. تستمر هذه الحملات وتتسم بالدقة، مما يشكل تهديدًا متزايدًا للأمن القومي.
تُنسب هذه الأنشطة إلى وزارة المخابرات والأمن الإيرانية (MOIS)، وقد كانت المجموعة نشطة منذ عام 2017 على الأقل. ومع ذلك، فإن الحملات الأخيرة أظهرت تطورًا واضحًا في كل من الاستراتيجية والقدرات التقنية، مما يشير إلى نهج أكثر تطوراً في عملياتها.
Boggy Serpens: توسع نطاق الهجمات السيبرانية وتطور الأساليب
تاريخيًا، اعتمدت Boggy Serpens على عمليات تصيد إلكتروني واسعة النطاق تركز على السرعة على حساب التخفي. كانت المجموعة تعتمد على تكتيكات “العيش من خلال الأرض” (living-off-the-land)، مستغلة أدوات المراقبة والإدارة عن بعد بالإضافة إلى الأدوات العامة.
ومع ذلك، شهدت سلوكيات المجموعة تحولًا حاسمًا نحو نموذج يرتكز على الثبات طويل الأمد واختراق العلاقات الموثوقة. أصبح هذا النهج الجديد أكثر حذرًا، مما يجعل اكتشافه أكثر صعوبة.
تطوير البرمجيات الخبيثة باستخدام تقنيات متقدمة
تقوم المجموعة الآن بإنشاء برمجيات خبيثة مخصصة باستخدام لغة “Rust”، وهي لغة آمنة من حيث الذاكرة، مما يعقد عملية الهندسة العكسية. كما قامت بدمج الذكاء الاصطناعي التوليدي في خط أنابيب التطوير الخاص بها لإنتاج عائلات برمجيات خبيثة جديدة بشكل أسرع.
في أوائل عام 2025، كشفت العمليات عن تنسيق مع مجموعة Evasive Serpens، المعروفة أيضًا باسم Lyceum. يشير هذا إلى تبادل الموارد داخل النظام البيئي للتهديدات الإيرانية.
امتد نطاق الحملة ليشمل منظمات في إسرائيل والمجر وتركيا والمملكة العربية السعودية والإمارات العربية المتحدة وتركمانستان ومصر وأمريكا الجنوبية، عبر قطاعات الحكومة والطيران والشحن والقطاع المالي. تعد الهجمات الأربعية الموجة ضد شركة بحرية وطاقة مقرها الإمارات العربية المتحدة، والمرتبطة بشركة أرامكو السعودية، مثالاً صارخًا على مثابرة المجموعة.
في أغسطس 2025، استغلت المجموعة أيضًا بريدًا إلكترونيًا مخترقًا في وزارة الخارجية العمانية لإرسال دعوات دبلوماسية ملفقة تحت اسم ندوة “السلام المستدام” إلى السفارات والمنظمات الدولية في جميع أنحاء العالم.
الهندسة الاجتماعية ثنائية الطبقات وتسليم الماكرو
أحد الجوانب التي تجعل هذه الحملات صعبة التوقف هو سلسلة الإصابة التي تعتمد على نموذج خداع من مرحلتين، يستغل كلاً من المرشحات الآلية والثقة البشرية في وقت واحد. تعتمد المرحلة الأولى على حسابات البريد الإلكتروني الشرعية المخترقة، مما يسمح للرسائل بتجاوز مرشحات البريد العشوائي.
تتمثل المرحلة الثانية في فتح الهدف للملف المرفق، والذي غالبًا ما يكون ملف Word ضبابيًا، أو تقرير مالي مزيف، أو تذكرة طيران وهمية. يعرض الملف رسالة تطلب من المستخدم النقر على “تمكين المحتوى”. عند حدوث ذلك، يتم تنفيذ ماكرو VBA بصمت في الخلفية، وإسقاط حمولة، ثم كشف المستند الذي يبدو شرعيًا.
كشفت التحليلات عن مسارين متوازيين لبناء الماكرو مرتبطان بفريق تطوير واحد: Phoenix Lineage، و UDPGangster Operations. يتشاركان مفتاح فك تشفير متطابق ومسار ملف novaservice.exe، مما يؤكد أنهما ينبعان من نفس خط الإنتاج.
يجب على المؤسسات تطبيق سياسات صارمة لتنفيذ الماكرو عبر جميع بيئات Microsoft Office، ونشر مراقبة سلوكية لنقاط النهاية. يجب تطبيق المصادقة متعددة العوامل لجميع حسابات البريد الإلكتروني لتقليل التعرض لاختراق الحسابات. تعتبر ضوابط البريد الإلكتروني التي تقيّم الشذوذات السلوكية والموضوعية أمرًا بالغ الأهمية لاكتشاف حملات التصيد الداخلية.