مجموعة إيرانية غامضة تستهدف خبراء ومراكز أبحاث أميركية مؤثرة في مجال السياسة 

نفذت إيران خلال الصيف الماضي سلسلة هجمات تصيد إلكتروني دقيقة استهدفت خبراء ومراكز أبحاث أميركية مؤثرة في مجال السياسة الخارجية، وفق ما كشفته شركة Proofpoint المتخصصة في الأمن السيبراني. لكن هوية المجموعة الإيرانية المسؤولة لا تزال غامضة. فقد أطلقت الشركة عليها تسمية مؤقتة هي UNK_SmudgedSerpent، مشيرة إلى أن تقنياتها وأساليبها التشغيلية تتقاطع مع معظم المجموعات الإيرانية المعروفة ضمن تصنيف APT.

تقليد شخصيات بارزة لاستهداف الباحثين

من بين الأهداف كانت سوزان مالوني، نائبة رئيس برنامج السياسة الخارجية في معهد Brookings، المعروفة بمتابعتها الدقيقة للشأن الإيراني. إذ حاول المهاجمون انتحال شخصيتها عبر حساب Gmail مشابه وبتوقيع إلكتروني مصمم بعناية، لإقناع مجموعة من الباحثين في مركز أبحاث آخر بالتعاون في مشروع مزعوم.

وفي حالات لاحقة، استخدم المهاجمون هوية مزيفة للخبير الاقتصادي باتريك كلاوسون، وأرسلوا رسائل تتناول قضايا مرتبطة مباشرة بالسياسة الإيرانية، بهدف كسب ثقة المستلمين.

عند تفاعل الضحايا، كانت UNK_SmudgedSerpent تجري أولاً عملية تحقق دقيقة منهم، ثم ترسل رابطاً خبيثاً مموهاً كمستند من منصة OnlyOffice أو Microsoft Teams، يؤدي في النهاية إلى صفحة تصيد شبيهة ببوابة Microsoft 365 مع شعار الجهة المستهدفة وعنوان بريدها، ما يمنحها مظهراً موثوقاً.

في إحدى الحالات التي رصدتها Proofpoint، شك أحد الضحايا في مصداقية الصفحة المزيفة، فانتقل المهاجمون إلى مرحلة ثانية، أرسلوا خلالها ملفات مضغوطة على شكل مستندات عمل، تحتوي على أداة للتحكم عن بعد (RMM). والأغرب أن المجموعة نصبت لاحقاً أداة ثانية من النوع نفسه، وهو سلوك غير معتاد رجح الباحثون أنه محاولة لإخفاء أثرهم بعد فشل جمع بيانات الاعتماد.

تشابه في الأساليب واختلاف في البنية

أظهرت المقارنة بين هذه الحملة وسلوك مجموعات إيرانية أخرى أن المرحلة الأولى من الهجوم، من حيث اختيار الأهداف، ونبرة الرسائل، والبنية البريدية، وروابط Microsoft المزيفة، تشبه أساليب مجموعة Charming Kitten المعروفة أيضاً باسم Mint Sandstorm.

لكن البنية التحتية التي دعمت الهجوم، إضافة إلى استخدام منصة OnlyOffice، تشبه إلى حد كبير ما يعتمده فريق TA455 المعروف باسم Smoke Sandstorm. كما أن اللجوء إلى أدوات RMM، وهو سلوك نادر، سبق أن رصد فقط لدى مجموعة MuddyWater أو TA450.

هذا الخليط من الأساليب جعل من الصعب على الباحثين تحديد الجهة المسؤولة، إذ تبدو الحملة وكأنها نفذت بتعاون غير معلن بين أكثر من مجموعة تابعة للدولة الإيرانية.

تداخل أدوار الأجهزة الإيرانية

تطرح Proofpoint عدة فرضيات لتفسير هذا الغموض. إحداها إعادة تنظيم أو دمج بعض الفرق السيبرانية في إيران، ما أدى إلى انتقال الخبرات والأدوات بين المجموعات.  كما يحتمل وجود كيان مركزي يقدم الدعم التقني أو البنى التحتية لعدة فرق هجومية في آن واحد.

ويرجح أيضاً وجود تنسيق مباشر بين الحرس الثوري الإيراني ووزارة الاستخبارات، وهما الجهتان اللتان تضمان معظم الفاعلين السيبرانيين في البلاد.

وتقول الباحثة ساهر نعمان، كبيرة المحللين في Proofpoint، إن العديد من القراصنة الإيرانيين تلقوا تدريبهم في مؤسسات واحدة، ما يفسر تشابه المهارات والتقنيات رغم اختلاف المسميات. وتشير إلى وجود “أكاديميات تدريبية تخدم كلاً من الحرس الثوري ووزارة الاستخبارات، مما يعني أن المهارات والأساليب يمكن أن تتنقل ليس فقط بين الفرق، بل أيضاً بين الوكالات”.

أهمية معرفة الفاعل

توضح نعمان أن تحديد هوية الجهة المنفذة لا يقتصر على البعد الأكاديمي، بل يشكل ركيزة أساسية للأمن السيبراني القائم على المعلومات الاستخباراتية، ويساعد إدارات المؤسسات على تبرير الاستثمار في الدفاعات والتحليل الاستخباري. وتضيف: “من الصعب حماية مؤسسة من تهديد لا تفهمه. معرفة من يهاجمك ولماذا تمنحك رؤية واضحة حول المخاطر الواقعية، ونمط الاختراق المحتمل، والإجراءات الوقائية الممكنة”.