أفادت تقارير استخباراتية حديثة بأن مجموعة القرصنة الإيرانية المعروفة باسم “MuddyWater”، وهي جهة ترعاها الدولة، تقف وراء هجوم فدية جديد وصف بأنه عملية “علم زائف” لتضليل جهود تحديد الهوية.
كشفت شركة Rapid7 عن الهجوم الذي وقع في أوائل عام 2026، حيث استغل المهاجمون تقنيات الهندسة الاجتماعية عبر منصة Microsoft Teams لبدء العدوى. وعلى الرغم من أن الحادث بدا في البداية وكأنه مرتبط بمجموعة “Chaos” المتخصصة في برامج الفدية كخدمة (RaaS)، إلا أن الأدلة تشير بقوة إلى أنه هجوم دولة مدعوم يهدف إلى التخفي خلف الابتزاز العشوائي.
هجوم MuddyWater: تمويه هويات المهاجمين
تتميز الحملة التي شنتها مجموعة MuddyWater بمرحلة هندسة اجتماعية متطورة عبر Microsoft Teams، حيث استخدم المهاجمون مشاركة الشاشة التفاعلية لسرقة بيانات الاعتماد والتلاعب بالمصادقة متعددة العوامل (MFA).
وبمجرد الدخول إلى الأنظمة، تفادى المهاجمون مسارات برامج الفدية التقليدية، وتخلوا عن تشفير الملفات لصالح تسريب البيانات والحفاظ على تواجد طويل الأمد باستخدام أدوات الإدارة عن بعد مثل DWAgent.
تزايد الاعتماد على أدوات الطرف الثالث
تشير النتائج إلى أن MuddyWater تسعى جاهدة لتعتيم جهود تحديد هويتها، وذلك من خلال الاعتماد المتزايد على الأدوات المتاحة في سوق الجريمة السيبرانية لتنفيذ هجماتها.
وقد وثقت شركات أخرى مثل Ctrl-Alt-Intel، Broadcom، Check Point، وJUMPSEC هذه التحولات في الأشهر الأخيرة، مسلطة الضوء على استخدام المهاجمين لأدوات مثل CastleRAT وTsundere.
تاريخ MuddyWater في هجمات الفدية
لا يُعد هذا الهجوم هو الأول لمجموعة MuddyWater في مجال برامج الفدية. ففي سبتمبر 2020، تم ربط الجهة الفاعلة بحملة استهدفت منظمات إسرائيلية بارزة باستخدام أداة تحميل تدعى PowGoop، والتي قامت بنشر نسخة من برنامج الفدية Thanos ذات قدرات تدميرية.
وفي عام 2023، كشفت مايكروسوفت أن المجموعة تعاونت مع جهة فاعلة تُعرف باسم DEV-1084، والتي تستخدم غالبًا شخصية DarkBit، لتنفيذ هجمات تخريبية تحت ستار نشر برامج الفدية.
وحتى أكتوبر 2025، يُعتقد أن المهاجمين استخدموا برنامج الفدية Qilin لاستهداف مستشفى حكومي إسرائيلي.
مجموعة Chaos: نموذج عمل معقد
تُعد مجموعة Chaos، التي ظهرت في أوائل عام 2025، معروفة بنموذج الابتزاز المزدوج، حيث تعلن عن برنامجها التابع في منتديات الجريمة الإلكترونية. وتشمل هجمات المجموعة تكتيكات مثل إغراق البريد الإلكتروني والمكالمات الصوتية عبر Teams، بانتحال صفة موظفي الدعم الفني، لخداع الضحايا.
ويمكن أن تشمل هذه الهجمات استخدام أدوات وصول عن بعد مثل Microsoft Quick Assist، ثم استغلال هذا الوصول للتغلغل بشكل أعمق في بيئة الضحية ونشر برامج الفدية.
ابتزاز ثلاثي ورباعي
أفادت Rapid7 بأن المجموعة أظهرت قدرات ابتزاز ثلاثي، بتهديدات بشن هجمات حجب الخدمة الموزعة (DDoS) ضد البنية التحتية للضحية، وهي ميزات تُقدم غالبًا للمنتسبين كجزء من خدمات مجمعة.
علاوة على ذلك، لوحظ أن Chaos تستغل عناصر الابتزاز الرباعي، بما في ذلك التهديد بالاتصال بالعملاء أو المنافسين لزيادة الضغط على الضحايا.
أساليب الوصول والتسلل
في الهجوم الذي حللته Rapid7، بدأ المهاجمون بطلبات دردشة خارجية عبر Teams للتفاعل مع الموظفين، بهدف الحصول على الوصول الأولي من خلال جلسات مشاركة الشاشة. ثم استخدموا حسابات المستخدمين المخترقة لإجراء الاستطلاع، وإنشاء ثبات باستخدام أدوات مثل DWAgent وAnyDesk، التحرك الجانبي، وتسريب البيانات.
“أثناء الاتصال، نفذ المهاجمون أوامر اكتشاف أساسية، ووصلوا إلى ملفات متعلقة بتكوين VPN الخاص بالضحية، وطلبوا من المستخدمين إدخال بيانات اعتمادهم في ملفات نصية أنشئت محليًا،” أوضحت Rapid7. “وفي حالة واحدة على الأقل، نشر المهاجمون أيضًا أداة إدارة عن بعد (AnyDesk) لتسهيل الوصول بشكل أكبر.”
مسار العدوى وتحليل البرمجيات الخبيثة
لوحظ أيضًا أن MuddyWater استخدمت بروتوكول سطح المكتب البعيد (RDP) لتنزيل ملف تنفيذي (ms_upd.exe) من خادم خارجي، باستخدام أداة curl. عند التنفيذ، يبدأ الثنائي سلسلة عدوى متعددة المراحل تسلم مكونات خبيثة إضافية.
- ms_upd.exe (المعروفة أيضًا باسم Stagecomp): تقوم بجمع معلومات النظام والتواصل مع خادم القيادة والتحكم (C2) لتسليم حمولات المرحلة التالية (game.exe، WebView2Loader.dll، وvisualwincomp.txt).
- game.exe (المعروفة أيضًا باسم Darkcomp): هي حصان طروادة وصول عن بعد (RAT) مخصص، تتنكر كعامل Microsoft WebView2 شرعي.
- WebView2Loader.dll: هي ملف DLL شرعي تم تنزيله بواسطة ms_upd.exe، وهو مطلوب بواسطة Microsoft Edge WebView2 لتضمين محتوى الويب في تطبيقات Windows.
- visualwincomp.txt: هي ملف تكوين مشفر يستخدمه RAT للحصول على معلومات C2.
يتصل RAT بخادم C2 ويدخل في حلقة لا نهائية، مما يسمح له بتنفيذ الأوامر أو نصوص PowerShell، وإجراء عمليات على الملفات، وإنشاء واجهة سطر أوامر تفاعلية.
ربط الهجوم بـ MuddyWater
ترتبط حملة MuddyWater بهذا الهجوم من خلال استخدام شهادة توقيع رمز منسوبة إلى “Donald Gay” لتوقيع “ms_upd.exe”. وقد تم استخدام هذه الشهادة سابقًا من قبل هذه المجموعة لتوقيع برمجيات خبيثة أخرى.
التقارب بين الهجمات المدعومة وغير المنظمة
تؤكد هذه النتائج على التقارب المتزايد بين أنشطة التدخل المدعومة من الدول والتكتيكات الإجرامية السيبرانية، بهدف طمس هويات المهاجمين وتأخير الاستجابات الدفاعية المناسبة.
وقد أشارت Rapid7 إلى أن استخدام إطار عمل برامج الفدية كخدمة (RaaS) في هذا السياق قد يمكّن الجهة الفاعلة من طمس الفروقات بين النشاط المدعوم من الدولة والجريمة السيبرانية ذات الدوافع المالية، مما يعقد عملية تحديد الهوية.
بالإضافة إلى ذلك، فإن إدراج عناصر الابتزاز والمفاوضات يمكن أن يركز جهود الدفاع على التأثير الفوري، مما يؤخر تحديد آليات الثبات الأساسية التي تم تأسيسها عبر أدوات الوصول عن بعد.
غياب تشفير الملفات: انحراف عن المتوقع
“من الجدير بالذكر أن الغياب الظاهري لتشفير الملفات، على الرغم من وجود آثار لبرنامج الفدية Chaos، يمثل انحرافًا عن سلوك برامج الفدية المعتاد. قد يشير هذا التناقض إلى أن مكون برنامج الفدية عمل بشكل أساسي كآلية تسهيل أو إخفاء، بدلاً من كونه الهدف الأساسي للاختراق،” أوضحت Rapid7.
أنشطة إيرانية أخرى في المنطقة
يأتي هذا التطور بالتزامن مع الكشف عن تفاصيل عملية مرتبطة بإيران تستهدف مؤسسات حكومية عمانية لتسريب أكثر من 26 ألف سجل للمستخدمين وبيانات قضايا قضائية.
كما تزامن هذا الاكتشاف مع استمرار نشاط الجماعات السيبرانية المتشددة الموالية لإيران، مثل Handala Hack، التي ادعت نشر تفاصيل عن ما يقرب من 400 فرد من البحرية الأمريكية وشن هجوم على ميناء الفجيرة في الإمارات العربية المتحدة.
قال سيرجي شايكيفيتش، مدير مجموعة في Check Point Research، لـ The Hacker News: “قبل شهر، وثقنا تصعيدًا واسعًا في العمليات السيبرانية المرتبطة بإيران – مراقبة عبر كاميرات مخترقة، تسريب آلاف الوثائق الحساسة للغاية من رئيس أركان الجيش الإسرائيلي السابق، وزيادة ملموسة في حجم الهجمات عبر المنطقة. وقلنا حينها إن المزيد من التصعيد مرجح.”
“الهجوم المزعوم على ميناء الفجيرة هو هذا التصعيد، إذا تم تأكيده. ما تغير هو طبيعة التهديد: لم يعد الأمر يتعلق بجمع المعلومات الاستخباراتية أو الإحراج العام. وبزعم، تم استخدام بيانات البنية التحتية للميناء المسروقة لتمكين استهداف فعلي بالصواريخ.”
“المجالات السيبرانية والفيزيائية متصلة الآن بشكل صريح. وهذه الحملة لا تتباطأ. وقد سبق فترة هدوء على الجبهة المادية تاريخيًا تكثيف النشاط السيبراني – وما نراه الآن هو أخطر مظهر لهذا النمط حتى الآن.”