نقلت تقارير أمنية حديثة عن حركة تحول لافتة في تكتيكات مجموعة MuddyWater، وهي جهة فاعلة مدعومة من قبل الحكومة الإيرانية، حيث بدأت المجموعة في الاعتماد على منصة “برمجيات خبيثة كخدمة” (Malware-as-a-Service) روسية لتنفيذ حملات هجومية جديدة تستهدف إسرائيل.
ويشير هذا التطور إلى ابتعاد عن استخدام الأدوات المطورة محليًا في السابق، ويثير قلقًا متزايدًا لدى المؤسسات في قطاعات حيوية حول العالم من التهديدات السيبرانية المستمرة.
تُعرف مجموعة MuddyWater، أو تحت أسماء أخرى مثل Seedworm و Mango Sandstorm و TA450 و Static Kitten، بأنها تعمل تحت إشراف وزارة الأمن والاستخبارات الإيرانية.
تنشط هذه المجموعة منذ عام 2017 على الأقل، وقد استهدفت وكالات حكومية، ومؤسسات دفاعية، وشركات اتصالات، وشركات طاقة في منطقة الشرق الأوسط وأجزاء من الغرب، بما في ذلك الولايات المتحدة والمملكة المتحدة.
وبينما كانت حملاتها السابقة تعتمد على أبواب خلفية من نوع PowerShell وأدوات مراقبة عن بعد مشروعة، تظهر الحملة الحالية اعتماد MuddyWater على شراء إمكانيات هجومية جاهزة من سوق القرصنة.
ويعود مصدر هذه الإمكانيات إلى مجموعة مجرمي الإنترنت الناطقين بالروسية، TAG-150، والتي تدير خدمة متعددة الأغراض تعرف باسم CastleRAT.
وقد تمكن محللو الأمن السيبراني من تتبع الارتباط بهذه المنصة الروسية من خلال خادم قيادة وتحكم (C2) تم تكوينه بشكل غير صحيح، و15 عينة من البرمجيات الخبيثة، وحمولة تنفيذية جديدة لنظام التشغيل Windows.
وبحسب ما تم رصده على الخادم المكشوف، احتوت التعليقات في الكود على ملاحظات باللغة الفارسية وقوائم بنطاقات عناوين IP إسرائيلية، مما يؤكد وجود مشغلين إيرانيين يستهدفون الأنظمة الإسرائيلية.
وتكشف الخط الزمني للنشاط عن استمرارية هذه الحملة؛ ففي أوائل مارس 2026، اكتشف باحثون الخادم المكشوف. ورغم ذلك، لم تتراجع MuddyWater، بل واصلت هجماتها.
تم تجميع مثبتات جديدة للتوزيع في 11 مارس، وظهرت برمجيات خبيثة محدثة بلغة JavaScript في 16 مارس، وتم اكتشاف أداة خداع جديدة تعتمد على وحدات الماكرو تتصل ببنية تحتية تابعة لـ MuddyWater في 20 مارس، مما يؤكد استمرار نشاط المجموعة.
تأثير تبني MuddyWater لمنصات روسية
إن التداعيات الأوسع لهذا التحول كبيرة؛ فالمؤسسات العاملة في قطاعات الدفاع، والطيران، والطاقة، والحكومة تواجه الآن تهديدًا يجمع بين الاستهداف على مستوى الدول والأدوات الهجومية المطورة تجاريًا.
من خلال تبني CastleRAT و ChainShell، اكتسبت MuddyWater قدرات جديدة لم تكن تمتلكها سابقًا، بما في ذلك جلسات VNC مخفية تسمح للمهاجمين بالتحكم في الجهاز بشكل خفي، وفك تشفير ملفات تعريف الارتباط في متصفح Chrome، وقناة اتصال مقاومة للبلوك تشين تصعب جهود الإيقاف التقليدية.
آلية الإصابة والتصميم التهربي لـ ChainShell
يُعتبر ChainShell، وهو وكيل قائم على Node.js، العنصر الأكثر تميزًا من الناحية التقنية في هذه الحملة. يقوم بحل عنوان القيادة والتحكم الخاص به مباشرة من عقد ذكي على بلوكتشين Ethereum عبر 10 موفري RPC.
على عكس البرمجيات الخبيثة التقليدية التي تعتمد على نطاقات أو عناوين IP ثابتة، يقع موقع القيادة والتحكم لـ ChainShell على البلوكتشين، مما يجعل تعقبه أو حظر عنوان IP الخاص به غير فعال إلى حد كبير.
يصل ChainShell إلى جهاز الضحية من خلال أداة PowerShell تسمى reset.ps1، تم العثور عليها على خادم القيادة والتحكم التابع للمجموعة.
يقوم هذا السكربت بتثبيت Node.js، وفك تشفير حمولة مضمنة باستخدام AES، ثم إسقاط ملفين: sysuu2etiprun.js، وهو وكيل القيادة والتحكم المستند إلى البلوكتشين، و VfZUSQi6oerKau.js، وهو مكون إسقاط وتثبيت.
بمجرد تشغيله، يتواصل الوكيل مع القيادة والتحكم عبر رسائل WebSocket مشفرة باستخدام AES-256-CBC، حيث يرسل ويستقبل كود JavaScript الذي يقوم بتنفيذه محليًا عبر استدعاء new Function().
ما يجعل ChainShell صعب الاكتشاف هو تصميمه الرقيق؛ فالوكيل لا يحتوي على أدوات مدمجة لسرقة البيانات أو تسجيل ضربات المفاتيح أو شل الأوامر. يتم تسليم جميع القدرات النشطة من الخادم وقت التشغيل، لذلك يكشف التحليل الثابت للملف القليل عن ما يمكنه فعله بالفعل.
يجري الوكيل أيضًا فحصًا للموقع الجغرافي عند بدء التشغيل ويخرج فورًا على أنظمة البلدان الأعضاء في رابطة الدول المستقلة مثل روسيا وأوكرانيا، وهو إجراء وقائي من المطورين يرى الباحثون أنه حقيقي وليس مجرد إلهاء.
يجب على المنظمات المعرضة لهذه الحملة مراقبة المهام المجدولة التي تتطابق مع نمط التسمية Virtual{Campaign}Guy{N}، والتحقق من وجود تثبيتات Node.js غير متوقعة ضمن %LOCALAPPDATA%Nodejs، وتطبيق حظر على جميع مؤشرات التهديد المعروفة (IOCs) في الشبكة.
كما يجب على فرق الأمن تجنب الافتراض بأن أي آثار لـ CastleRAT أو ChainShell تشير دائمًا إلى مجرمي إنترنت روسيين؛ فقد تشير تحليلات إضافية لتكوينات الحملات والبنية التحتية للقيادة والتحكم إلى وجود مشغلين على مستوى الدولة الإيرانية.