يشهد الفضاء الرقمي منذ الثامن والعشرين من فبراير 2026 تحولاً نوعياً في طبيعة المواجهات السيبرانية المرتبطة بالأحداث الجارية في إيران، حيث رصد الخبراء ارتفاعاً حاداً في معدلات الهجمات والأنشطة الاستطلاعية التي تستهدف استغلال الثغرات التقنية. وتكشف البيانات الصادرة عن شركات الأمن وباحثي المعلومات أن قطاع البنوك والخدمات المالية تصدر قائمة الوجهات الأكثر استهدافاً خلال الأسابيع الأولى من هذا التصعيد العسكري والسياسي.
وفي هذا السياق، سجلت شركة Akamai زيادة في الأنشطة الخبيثة بنسبة 245% منذ اندلاع المواجهات، وتنوعت هذه العمليات بين محاولات جمع بيانات الاعتماد والاستطلاع الآلي ومسح البنية التحتية والخدمات المكشوفة. وقد استحوذ قطاع البنوك والتقنية المالية على 40% من إجمالي هذا النشاط، تبعه قطاع التجارة الإلكترونية بنسبة 25%، ثم قطاع الألعاب بنسبة 15%، وشركات التقنية بنسبة 10%، وقطاع الإعلام بنسبة 7%.
وتعد هذه الزيادة مؤشراً دقيقاً على اتساع نطاق مرحلة التهيئة الهجومية، وهي عمليات تشمل المسح الواسع للخدمات والتعرف على الأصول التقنية المكشوفة لتوظيفها لاحقاً في هجمات حجب الخدمة أو حملات التصيد الرقمي. كما كشفت التقارير عن نمو مطرد في حركة اكتشاف البنى التحتية المرتبطة بالبوت نت بنسبة 70%، وزيادة في الاستطلاع الآلي بنسبة 65%، ومسح الخدمات المكشوفة بنسبة 52%.
كما ارتفعت محاولات الاستيلاء على الحسابات بنسبة 45%، تزامناً مع نمو الأنشطة التمهيدية لهجمات تعطيل الخدمة بنسبة 38%. وتعكس هذه المؤشرات المتصاعدة استراتيجية تقنية تعتمد على جمع البيانات الأولية وتحليل البنية التحتية للأهداف الحيوية كخطوة استباقية لشن هجمات سيبرانية أكثر تعقيداً وتأثيراً في مراحل المواجهة القادمة.
تعدد الأطراف الفاعلة وتكتيكات التخفي في البيئة الإقليمية
أصدر فريق Unit 42 التابع لشركة Palo Alto Networks مذكرة تهديدات في الثاني من مارس 2026، كشفت عن تصاعد ملحوظ في نشاط جماعات Hacktivist الموالية لإيران، مع دخول مجموعات موالية لروسيا على خط الاستهداف السيبراني. وركزت هذه الجهات عملياتها على حجب الخدمة، وتسريب البيانات، والتخريب الرقمي، مستهدفةً قطاعات مدنية ومالية وحكومية حيوية في المنطقة العربية؛ شملت مؤسسات في المملكة العربية السعودية، والكويت، والبحرين، والإمارات العربية المتحدة، والأردن.
وتشير البيانات التقنية إلى أن مصادر النشاط المرصود تتجاوز النطاق الجغرافي الإيراني، حيث مثلت العناوين المنسوبة لإيران 14% فقط من الهجمات، بينما بلغت نسبة المصادر القادمة من روسيا 35% ومن الصين 28%. ومع ذلك، لا يعد هذا التوزيع دليلاً قطعياً على هوية المنفذين، نظراً لاعتماد المهاجمين على خدمات الوساطة (Proxy Services) والبنى التحتية الموزعة لتطبيق تكتيكات الإنكار والإخفاء، وإطلاق مليارات من محاولات الاتصال المصممة لاستغلال الثغرات البرمجية.
ويرى الخبراء في Unit 42 أن القدرات السيبرانية الحكومية الإيرانية قد تواجه حالياً تحديات تنسيقية ناتجة عن التراجع الحاد في استقرار الاتصال بالإنترنت داخل إيران منذ بدء العمليات الحربية. عزز هذا الانقطاع بدوره دور الجماعات الوكيلة والمجاميع اللامركزية في تنفيذ الأنشطة السريعة والمزعجة التي لا تتطلب تنسيقاً مركزياً معقداً.
ويظل القطاع المالي الهدف الأكثر جذباً لهذه الجماعات نظراً لقيمته الرمزية وأثره النفسي المباشر عند استهداف المصارف. كما تزيد ثغرات الواجهات البرمجية المكشوفة (APIs) التي تعتمد عليها شركات التقنية المالية من فرص تعرضها لحملات المسح المكثف والاختبار الآلي للحسابات، ما يجعلها عرضة لاختراقات واسعة النطاق في ظل الظروف الجيوسياسية الراهنة.
استراتيجيات الدفاع السيبراني ورفع الجاهزية التشغيلية للمؤسسات
يمتد أثر هذه التطورات ليشمل أمن المنطقة بشكل مباشر، حيث رصدت تقارير استخبارات التهديدات ادعاءات من جماعات موالية لإيران باستهداف مواقع مصرفية، ومطارات، وخدمات حكومية في دول الخليج. وبالرغم من ضرورة التعامل بحذر مع هذه المزاعم، فإن ورودها في تقارير موثقة يؤكد اتساع رقعة الاهتمام الهجومي بالبيئة الإقليمية، وهو ما دفع السلطات الأمريكية عبر وكالة CISA للتحذير من استهداف الشبكات ضعيفة الحماية، بما في ذلك أنظمة التحكم الصناعي والتقنيات التشغيلية (OT).
وتنتقل الأولوية الدفاعية في الوقت الراهن نحو إدارة الأساسيات الأمنية بكفاءة عالية، بعيداً عن التركيز الحصري على الهجمات المعقدة. ويوصي الخبراء بضرورة تشديد إجراءات التحقق من الطلبات الحساسة ومراجعة الأصول المواجهة للإنترنت، مثل بوابات الشبكات الخاصة الافتراضية (VPN) والمواقع الإلكترونية والخدمات السحابية، مع ضرورة تسريع تحديث الأنظمة البرمجية وتدريب الكوادر البشرية على كشف أساليب الهندسة الاجتماعية.
وفي إطار الإجراءات الاحترازية، تنصح المؤسسات الأمنية مثل Akamai و Unit 42 بالنظر في تفعيل خاصية حجب العناوين الجغرافية المرتبطة بمناطق عالية المخاطر، في حال عدم وجود ضرورة تشغيلية للتواصل معها.
