شنت مجموعة قرصنة مرتبطة بإيران، تُعرف باسم “سيدوورم” (Seedworm)، هجمات إلكترونية مكثفة استهدفت شبكات مؤسسات أمريكية متعددة منذ فبراير 2026. يأتي هذا التصعيد في ظل توترات إقليمية متزايدة، مما يثير مخاوف كبيرة في أوساط الأمن السيبراني.
تأتي هذه الأنشطة المشددة في أعقاب ضربات عسكرية منسقة أمريكية وإسرائيلية على إيران في 28 فبراير 2026، والتي أدت إلى وفاة المرشد الأعلى الإيراني وزادت بشكل كبير من حدة التوترات الإقليمية. يبدو أن رد إيران لم يقتصر على المواجهة العسكرية التقليدية.
بدلاً من ذلك، يبدو أن عناصر الاستخبارات السيبرانية الإيرانية استغلّت الصراع المتصاعد كدافع مباشر لتسريع اختراقاتها ضد أهداف أمريكية وحليفة. تُعد هذه الهجمات مؤشراً على زيادة النشاط السيبراني الإيراني.
تنتمي مجموعة “سيدوورم” إلى كيانات متقدمة في التهديدات السيبرانية (APT)، وتُصنف رسمياً من قبل وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) كجزء من وزارة الاستخبارات والأمن الإيرانية (MOIS). تعمل المجموعة منذ عام 2017 على الأقل.
على مر السنين، وسعت المجموعة نطاق استهدافها، حيث انتقلت من التركيز على الشرق الأوسط لتشمل شركات الاتصالات، والمقاولين الدفاعيين، والحكومات المحلية، ومؤسسات النفط والغاز في مناطق متنوعة تشمل آسيا وأفريقيا وأوروبا وأمريكا الشمالية.
تطور المجموعة برامجها الخبيثة المخصصة، كما تعتمد على أدوات قانونية مزدوجة الاستخدام، مما يمنحها القدرة على التمويه والتسلل بهدوء إلى البيئات الشبكية العادية دون إثارة شكوك كبيرة.
تزايد نشاط “سيدوورم” واستهداف البنية التحتية الأمريكية
رصد باحثون من شركة سيمانتيك (Symantec) نشاط اختراق داخل شبكات بنك أمريكي، ومطار أمريكي، وشركة برمجيات لها صلات بصناعات الدفاع والفضاء، ومنظمات غير ربحية في كل من الولايات المتحدة وكندا. بدا أن العمليات الإسرائيلية التابعة لشركة البرمجيات كانت محور التركيز الأساسي في أحد هذه الاختراقات.
يبدو أن “سيدوورم” استخدمت الحضور العالمي للشركة كجسر للوصول الجانبي إلى شبكات أخرى. والأهم من ذلك، أن هذه الاختراقات كانت قيد التنفيذ بالفعل قبل بدء الصراع العسكري رسمياً، مما يشير إلى أن المجموعة كانت تضع نفسها بهدوء داخل شبكات ذات قيمة عالية قبل وقت طويل من التصعيد.
أصدر المركز الوطني للأمن السيبراني في المملكة المتحدة (NCSC) تنبيهاً رسمياً يؤكد أن الجهات الفاعلة المتحالفة مع إيران “من شبه المؤكد أنها تحتفظ حاليًا على الأقل ببعض القدرة على شن نشاط سيبراني”، حتى في ظل الاضطراب المستمر في البنية التحتية للإنترنت داخل إيران نفسها. هذا يؤكد حقيقة أساسية: أن “سيدوورم” وغيرها من الجهات الفاعلة المرتبطة تعمل من دول متعددة، مما يعني أن الاضطرابات المحلية داخل إيران لا توقف عملياتها الشاملة.
هذا التهديد المزدوج، الذي يجمع بين التجسس برعاية الدولة وأنشطة القرصنة النشطة (Hacktivism)، يخلق بيئة تهديد مركبة لا يمكن لأي إجراء دفاعي وحيد أن يحتويه بالكامل. تعمل مجموعات مثل “هانْدَلا” (Handala)، التي تتماشى مع المصالح الجيوسياسية الإيرانية، على استغلال مختلف الوسائل للحفاظ على الاتصال.
بالإضافة إلى “سيدوورم”، كثفت جهات فاعلة أخرى مرتبطة بإيران أنشطتها. ظهرت مجموعة “داي نت” (DieNet) المؤيدة للفلسطينيين في أوائل عام 2025، ومنذ ذلك الحين ادعت مسؤوليتها عن هجمات الحرمان من الخدمة (DDoS) التي استهدفت البنية التحتية الحيوية الأمريكية في قطاعات الطاقة والمالية والرعاية الصحية والنقل.
آليات التخفي ونشر الأبواب الخلفية
تتضمن أحدث حزم أدوات “سيدوورم” بابين خلفيين تم تحديدهما حديثاً: “داين دور” (Dindoor) و”فيك سيت” (Fakeset). يُعد “داين دور” باباً خلفياً غير معروف سابقاً، تم بناؤه للتنفيذ عبر “دينو” (Deno)، وهو بيئة تشغيل آمنة لجافا سكريبت وتايب سكريبت، مما يمنحه بصمة غير تقليدية قد لا تكتشفها العديد من أدوات الأمان فوراً. تم العثور عليه على شبكات تابعة للفرع الإسرائيلي لشركة البرمجيات، وبنك أمريكي، ومنظمة غير ربحية كندية.
أما “فيك سيت”، فهو باب خلفي يعتمد على لغة بايثون، وتم نشره على شبكات المطار والمنظمة غير الربحية. تم توقيعه باستخدام شهادات تحمل أسماء “إيمي تشيرن” (Amy Cherne) و”دونالد غاي” (Donald Gay). الشهادة باسم “دونالد غاي” سبق استخدامها لتوقيع برامج خبيثة أخرى مرتبطة بـ “سيدوورم”، مما يربط هذا النشاط الجديد مباشرة بسلسلة بنية تحتية معروفة للتهديدات، مثل أداة “ستيج كومب” (Stagecomp) التي تسلم الباب الخلفي “دارك كومب” (Darkcomp).
خلال اختراق شركة البرمجيات، حاول المهاجمون أيضاً سرقة البيانات باستخدام “أركلون” (Rclone)، وهي أداة نقل ملفات قانونية أُعيد استخدامها لنقل الملفات إلى مخزن سحابي خاص. ومع ذلك، لا يزال من غير الواضح ما إذا كانت محاولة الاستخراج قد نجحت.
توصي خبراء الأمن السيبراني المؤسسات بتطبيق المصادقة متعددة العوامل عبر جميع نقاط الوصول عن بعد، ومراقبة عمليات نقل البيانات الخارجية غير الطبيعية عن كثب، ونشر جدران حماية تطبيقات الويب مع مجموعات قواعد محدثة، وتقييد الوصول إلى خدمات التخزين السحابية الخارجية، والاحتفاظ بنسخ احتياطية غير قابلة للتغيير وغير متصلة بالشبكة لضمان التعافي السريع بعد أي هجوم تخريبي محتمل.