كشف تقرير بحثي نشره Citizen Lab يوم الخميس 23 أبريل 2026 عن حملتين متقدمتين للمراقبة السرية استغلتا بنية الربط الدولي لشبكات الاتصالات لتنفيذ عمليات تتبع مواقع هواتف على نحو عابر للحدود، مستخدمتين بروتوكولي SS7 الخاص بشبكات الجيل الثالث وDiameter المستخدم في الجيل الرابع ومعظم تطبيقات الجيل الخامس. التقرير قال إن هذه هي المرة الأولى التي يجري فيها ربط حركة هجومية حية بمسارات إشارات ومعرّفات مرتبطة ببنية تشغيلية لمشغلي اتصالات.
بحسب التقرير، بدأت التحقيقات في أواخر 2024 بعد رصد نشاط غير معتاد في سجلات جدران الحماية الخاصة بإشارات الاتصالات، قبل أن تتوسع لتكشف عن جهتين منفصلتين وصفهما الباحثون بأنهما أقرب إلى منصات مراقبة تجارية تعمل لصالح أنشطة استخباراتية حكومية. الحملة الأولى ظهرت في نوفمبر 2024 واستهدفت مشتركاً لدى مشغل اتصالات في الشرق الأوسط، وأكد المشغل للباحثين أن الرقم يعود إلى شخصية رفيعة وُصفت داخلياً بأنها VVIP. أما الحملة الثانية فظهرت في 11 فبراير 2025، وجمعت بين استغلال على مستوى الشبكة ورسالة SMS ثنائية مخفية حملت أوامر إلى شريحة الاتصال لاستخراج بيانات موقع الهاتف.
النتيجة الأهم في التقرير لا تتعلق باسم شركة بعينها بقدر ما تتعلق بطريقة الاستغلال. الباحثون قالوا إن الجهات المهاجمة استخدمت هويات تشغيلية ومسارات ربط تبدو شرعية داخل منظومة الاتصالات الدولية، ما سمح لها بتمرير طلبات تتبع الموقع وكأنها صادرة من مشغلين موثوقين. كما أظهر التحليل أن المهاجمين تنقلوا بين بروتوكولي SS7 وDiameter لاستغلال ميزة التسجيل المزدوج بين شبكات 3G و4G وتجاوز بعض وسائل الحماية.
وربط التقرير بعض مسارات العبور أو نقاط الدخول التشغيلية ببنى تحمل معرّفات مرتبطة بـ 019Mobile في إسرائيل، وTango Networks UK في المملكة المتحدة، وAirtel Jersey / Sure في جيرسي، مع تأكيد واضح أن ذلك لا يعني بالضرورة تورط هذه الشركات مباشرة. Citizen Lab قال إن الوصول إلى منظومة الإشارات قد يتم عبر مزودي خدمات من أطراف ثالثة أو ترتيبات تأجير تجارية أو وسطاء يرسلون الرسائل باستخدام معرفات صادرة عن شبكات شرعية. كذلك أشار التقرير إلى أن الحملة الثانية تُظهر تقاطعات فنية وتاريخية مع Fink Telecom Services، من دون استبعاد فرضية الانتحال.
وفي جانب الردود، قال مسؤول الأمن وتقنية المعلومات في 019Mobile إن المعلومات التي قُدمت لهم لا تسمح بنسبة النشاط الإشاري المشار إليه إلى بنية الشركة التشغيلية. من جهتها، قالت Sure إنها تؤجر خدمات إشارات لعدد محدود من مزودين متخصصين لأغراض مشروعة مثل مكافحة الاحتيال ورسائل التحقق الثنائي، وإنها لا تؤجر الوصول مباشرة أو عن علم لأغراض تعقب الأفراد أو اعتراض الاتصالات، مضيفة أنها تحقق في المسألة وقد أبلغت الجهات التنظيمية المختصة في نطاقها.
يخلص التقرير إلى أن الخلل ليس مجرد ثغرات بروتوكولية معروفة، لكنه فشل في حوكمة منظومة interconnect الدولية وفي تدقيق الوصول التجاري إلى شبكات الإشارات. هذا التقدير ينسجم مع دعوات سابقة أطلقها السيناتور الأميركي رون وايدن في 29 فبراير 2024 لفرض حد أدنى إلزامي من معايير الأمن على شركات الاتصالات، محذراً من أن خدمات “اختراق شركات الهاتف” القائمة على SS7 وDiameter استُغلت لسنوات في التتبع والمراقبة.
