أشعلت العمليات العسكرية المنسقة بين الولايات المتحدة وإسرائيل، تحت اسم “Epic Fury” و”Roaring Lion” على التوالي، صراعًا سيبرانيًا واسع النطاق يوم 28 فبراير 2026. امتدت تداعيات الهجوم بسرعة، لتشمل منطقة الشرق الأوسط وخارجها، مما أدى إلى تصعيد كبير في التهديدات السيبرانية.
في غضون ساعات من الهجمات، شنّت إيران هجومًا مضادًا متعدد الأوجه، شمل مجموعات قراصنة (هاكتفيست)، وجهات فاعلة موالية للدولة، ومجرمي سيبرانيين انتهازيين. تطور هذا الهجوم ليصبح أحد أكثر المواجهات السيبرانية كثافة في الذاكرة الحديثة، مما سلط الضوء على الطبيعة المتزايدة التعقيد للصراعات في الفضاء الرقمي.
تأثير انقطاع الإنترنت على العمليات الإيرانية
من أبرز التطورات المبكرة، كان الانقطاع شبه الكامل للإنترنت داخل إيران. بحلول صباح يوم 28 فبراير، انخفضت إمكانية الوصول إلى الإنترنت داخل البلاد إلى ما بين 1% و 4% فقط. هذا التوقف المفاجئ قطع اتصال وحدات الحرب السيبرانية الإيرانية المستقلة عن شبكات القيادة والتحكم الخاصة بها.
أدى ذلك إلى تقييد قدرتها بشكل كبير على تنسيق وتنفيذ هجمات سيبرانية متطورة على المدى القريب. ومنذ ذلك الحين، تحولت الخلايا السيبرانية الإيرانية إلى حالة من العزلة التشغيلية، مما قد يؤدي إلى انحرافات غير متوقعة عن أنماط هجومها المعتادة.
ومن جهة أخرى، كشف محللو Palo Alto Networks’ Unit 42 عن حملة تصيد احتيالي تستهدف المستخدمين بعد الهجوم مباشرة. تضمنت هذه الحملة نشر نسخة خبيثة من تطبيق “RedAlert” الخاص بالقيادة الداخلية الإسرائيلية، وهو تطبيق مخصص للتنبيهات الطارئة. تم توزيع التطبيق الضار كحزمة Android Package Kit (APK) عبر رسائل تصيد احتيالي عبر الرسائل القصيرة.
يهدف هذا التطبيق الخبيث إلى خداع المستخدمين لتنزيل برامج تجسس خاصة بالأجهزة المحمولة، مما يسهل عمليات المراقبة واستخراج البيانات. يستغل المهاجمون الخوف العام لتوصيل البرامج الضارة تحت غطاء أداة أمان موثوقة خلال الصراع المستمر.
تصاعد نشاط الهاكتفيست وتوسع نطاق الصراع
على الرغم من التعطيلات التي لحقت بالبنية التحتية الإيرانية، شهد نشاط الهاكتفيست خارج البلاد تصاعدًا سريعًا. بحلول 2 مارس 2026، شارك حوالي 60 مجموعة فردية، بما في ذلك مجموعات موالية لروسيا، بنشاط في عمليات تستهدف أصولًا إسرائيلية وغربية وإقليمية.
تعمل العديد من هذه المجموعات تحت مظلة “غرفة العمليات الإلكترونية” التي تشكلت حديثًا في 28 فبراير 2026. وقد أعلنت هذه المجموعات مسؤوليتها عن هجمات تتراوح بين هجمات الحرمان من الخدمة (DDoS) على البنوك والمواقع الحكومية، وصولًا إلى اختراق كامل للبنية التحتية التي تؤثر على أنظمة الطاقة والمدفوعات والدفاع.
لم يقتصر امتداد الصراع السيبراني على حدود إيران فحسب. حيث شن مجرمو سيبرانيون في الإمارات العربية المتحدة حملات تصيد صوتي (vishing) انتحلوا فيها صفة وزارة الداخلية لسرقة أرقام الهوية الوطنية. كما قامت مجموعة برامج الفدية “Tarnished Scorpius” (المعروفة أيضًا باسم INC Ransomware) بإدراج شركة إسرائيلية لتصنيع الآلات الصناعية على موقعها لتسريب البيانات، مستبدلة شعار الشركة برمز الصليب المعقوف.
تعكس سرعة واتساع نطاق هذه الهجمات صراعًا تجاوز بكثير نطاق الدول مقابل الدول، ليتحول إلى حرب سيبرانية متعددة الأطراف.
داخل منظومة تهديدات الهاكتفيست
أصبحت “غرفة العمليات الإلكترونية” المركز الرئيسي لتنسيق عمليات الهاكتفيست المتحالفة مع إيران منذ بدء الصراع. برز “Handala Hack”، وهو كيان مرتبط بوزارة الاستخبارات والأمن الإيرانية (MOIS)، كواحد من أكثر الجهات الفاعلة نشاطًا. وقد أعلن مسؤوليته عن اختراق شركة إسرائيلية لاستكشاف الطاقة، وتعطيل أنظمة الوقود في الأردن.
بالإضافة إلى ذلك، هدد “Handala Hack” مؤثرين إيرانيين أمريكيين وإيرانيين كنديين بالقتل، ونشر عناوين منازلهم. يمثل هذا الانتقال من تعطيل رقمي إلى تخويف بدني تصعيدًا خطيرًا في سلوك الهاكتفيست.
تشمل الجهات الفاعلة الأخرى “مقاومة الإنترنت الإسلامية”، وهي مظلة تنسق مجموعات مثل RipperSec و Cyb3rDrag0nzz. وقد أعلنت هذه المجموعات عن اختراق نظام دفاعي للطائرات بدون طيار وبنية تحتية إسرائيلية للمدفوعات. كما أفاد فريق FAD Team عن وصول غير مصرح به إلى أنظمة SCADA وأنظمة التحكم المنطقية القابلة للبرمجة (PLC) في إسرائيل.
استهدفت مجموعة DieNet المطارات والبنوك في البحرين والمملكة العربية السعودية والأردن والإمارات العربية المتحدة. وانضمت المجموعات الموالية لروسيا NoName057(16) و”الفيلق الروسي” إلى الصراع، حيث ادعت الأخيرة الوصول إلى نظام اعتراض الصواريخ الإسرائيلي “القبة الحديدية”، لكن هذه الادعاءات لا تزال غير مؤكدة.
نصائح للحماية في ظل الصراع السيبراني
في ظل هذا التصعيد، يُنصح المنظمات بتخزين نسخة واحدة على الأقل من البيانات الهامة دون اتصال بالإنترنت للحماية من هجمات برامج الفدية والمحو. يجب الحفاظ على جميع الأصول المواجهة للإنترنت محدثة بالكامل ومحكمة الإغلاق.
يجب تدريب الموظفين على تقنيات التصيد الاحتيالي والهندسة الاجتماعية، مع الأخذ في الاعتبار إمكانية حظر حركة المرور من نطاقات جغرافية عالية المخاطر. كما يجب تحديث خطط استمرارية الأعمال، ووضع عمليات للتحقق من مطالبات الاختراق، ومراقبة الإرشادات المستمرة من وكالات الأمن السيبراني.