كشف فريق التهديدات التابع لشركة Broadcom عن عمليات اختراق تقنية نفذتها مجموعة MuddyWater الإيرانية استهدفت بنى تحتية ومؤسسات حساسة في الولايات المتحدة، وكندا، وإسرائيل. شملت قائمة الأهداف مطاراً، وبنكاً، ومنظمة غير حكومية في أميركا الشمالية، بالإضافة إلى شركة برمجيات أميركية ومتعاقد في قطاعي الطيران والدفاع يمتلكان نشاطاً حيوياً داخل إسرائيل. بدأ هذا النشاط في شهر فبراير من عام 2026، وتزامن توقيته مع سعي المهاجمين لتثبيت حضور رقمي متقدم داخل هذه الشبكات تمهيداً لعمليات استخباراتية أو تخريبية مستقبلية.
استخدم المهاجمون باباً خلفياً جديداً أُطلق عليه اسم Dindoor لاختراق فرع شركة برمجيات في إسرائيل، وبنك أميركي، ومنظمة كندية. كما رصد المحققون برمجية أخرى مطورة بلغة Python تسمى Fakeset استهدفت مطاراً ومنظمة غير ربحية. ارتبطت هذه الأدوات بشهادات رقمية استُخدمت سابقاً في حملات المجموعة، الأمر الذي أكد تبعية هذه العمليات لنمط النشاط المعهود لجهة التهديد.
مخاطر التسلل المبكر وآليات الاستغلال في القطاعات الحيوية
تكمن خطورة التسلل الحالي في قدرة المهاجمين على الانتقال السريع من مرحلة جمع المعلومات إلى تنفيذ هجمات تخريبية أو استخراج بيانات حساسة. يمنح هذا التواجد المسبق داخل الأنظمة ميزة استراتيجية للمهاجمين، حيث تتقلص المدة الزمنية المطلوبة لتنفيذ اختراق شامل عند صدور قرار سياسي بالتصعيد، وذلك عبر استغلال الوصول القائم فعلياً في البيئات المالية والمدنية المستهدفة.
يتسق هذا التصعيد مع تحذيرات سابقة أصدرتها وكالة الأمن السيبراني وأمن البنية التحتية الأميركية (CISA) في منتصف عام 2025. نبهت الوكالة حينها مشغلي البنية التحتية الحيوية، وخاصة الشركات المرتبطة بالقاعدة الصناعية الدفاعية والأبحاث الإسرائيلية، إلى ضرورة رفع الجاهزية الرقمية.
يعكس تنوع الأهداف بين المطارات، والبنوك، والشركات التقنية رغبة في بناء قاعدة بيانات واسعة وتحصين موطئ قدم داخل بيئات تشغيلية متباينة، لتوظيف هذا الوصول في سيناريوهات متعددة وفقاً لمتطلبات المرحلة الجيوسياسية.
الارتباط المؤسسي بوزارة الاستخبارات الإيرانية وتاريخ العمليات
تصنف الأجهزة الأمنية الأميركية مجموعة MuddyWater كعنصر فاعل يتبع مباشرة لوزارة الاستخبارات والأمن الإيرانية. عُرفت المجموعة بأسماء تتبع متعددة في أوساط الأمن التقني مثل Seedworm وStatic Kitten، واشتهرت باستخدام أدوات مفتوحة المصدر لضمان استمرارية الوصول إلى الأهداف. يعزز هذا الانتساب الحكومي من خطورة العمليات، إذ تنتقل من إطار الجرائم السيبرانية التقليدية إلى سياق العمليات السيبرانية الهجومية الموجهة لدعم الأهداف القومية والسياسية.
يمتد سجل المجموعة العملياتي ليشمل استغلال ثغرات تقنية شهيرة مثل Log4j 2 ضد مؤسسات إسرائيلية، مع تسجيل تصاعد ملحوظ في وتيرة هذه الهجمات منذ نهاية عام 2023. شملت تلك الأنشطة هجمات تخريبية واختراقات لأنظمة متصلة بالإنترنت وكاميرات مراقبة. تمثل الواقعة الحالية حلقة جديدة في هذا المسار، حيث تظل الجهات الإيرانية محتفظة بقدرات وصول خفية داخل شبكات غربية بانتظار توقيت استخدامها، رغم عدم صدور بيانات رسمية حتى الآن تؤكد وقوع أضرار تشغيلية مباشرة أو كشف هوية الضحايا بشكل تفصيلي.
