تصاعد التهديد السيبراني المرتبط بإيران يعيد رسم خريطة الاستهداف الرقمي في الشرق الأوسط وشمال أفريقيا

كشف التحديث الأخير الصادر عن Unit 42 التابعة لشركة Palo Alto Networks عن تحول جوهري في طبيعة التهديدات السيبرانية المرتبطة بإيران؛ حيث تجاوز النشاط الرقمي حدود المواجهات التقليدية المباشرة ليمتد نحو فضاء إقليمي واسع يشمل دول الخليج والمشرق العربي وشمال أفريقيا.

ويتجسد هذا التحول في تصاعد حاد لحملات الاحتيال الرقمي، وانتحال الهوية، وسرقة بيانات الاعتماد، بالتوازي مع مؤشرات تقنية ترجح احتمالية اللجوء إلى هجمات Wiper التدميرية المصممة لمحو البيانات وتعطيل الأنظمة الحيوية بشكل نهائي.

ويعرض التقرير مشهداً مركباً تتداخل فيه أنشطة مجموعات موالية لإيران مع شبكات إجرامية تستغل التوترات الجيوسياسية، مستخدمةً بنى تحتية احتيالية تنتحل أسماء مؤسسات موثوقة وعلامات تجارية مرموقة في المنطقة، تخلق بيئة تهديد متعددة المستويات تتقاطع فيها الأجندات السياسية مع الدوافع المالية الصرفة.

ورغم تسجيل انقطاع شبه كامل لخدمات الإنترنت داخل إيران، أوضحت Unit 42 أن هذا العائق التقني أثر مؤقتاً فقط على قدرة بعض الجهات المرتبطة بالدولة على تنسيق عمليات معقدة من داخل البلاد، دون أن يقلل ذلك من حجم التهديد الكلي.

فقد برزت أنماط تشغيلية جديدة تعمد إلى الاعتماد على مجموعات موزعة جغرافياً ووكلاء سيبرانيين يعملون من خارج الحدود الإيرانية، مع التركيز على حملات انتحال سريعة الانتشار تعتمد على إنشاء بنية تحتية خبيثة وتبديلها باستمرار لتجنب الرصد.

ويترافق هذا النشاط مع تحذيرات جدية من عودة الهجمات التدميرية، بالنظر إلى السجل التاريخي لهذه العمليات الذي يعود إلى عام 2012، ما يضع البنية التحتية الرقمية في المنطقة تحت ضغط مستمر لا يقتصر على قدرات الدول فحسب، بل يمتد ليشمل شبكات هجينة تدمج بين النشاط الرقمي المسيّس والجريمة السيبرانية المنظمة.

تحليل أنماط الاستهداف في البيئة الرقمية لدول المنطقة

تتوزع عمليات التهديد الحالية ضمن 3 دوائر رئيسية؛ تبدأ بهجمات التعطيل وتشويه المواقع وتسريب البيانات، وتنتقل إلى عمليات التصيد التي تستهدف حسابات الموظفين، وصولاً إلى حملات الاحتيال المالي الواسعة الموجهة للأفراد.

وقد رصدت Unit 42 أرقاماً تعكس ضخامة هذا النشاط، حيث تم تحديد 7,381 رابط تصيد موزعة على 1,881 اسماً مستضيفاً فريداً، مع استخدام تقنيات متطورة لتدوير النطاقات وإنشاء بوابات مزيفة تحاكي المواقع الرسمية بدقة.

وفي دولة الإمارات العربية المتحدة، ركزت الحملات على استغلال البيئة الرقمية المحلية عبر مسارين؛ الأول استخدم اسم “Emirates” في سياقات مالية ومصرفية، والثاني اعتمد اسم “Dubai” ضمن نطاقات استثمارية وعقارية. كما شملت العمليات انتحال صفة “Emirates Post” وأنظمة دفع الغرامات التابعة لشرطة دبي، ما يشير إلى محاولة اختراق شاملة للثقة الرقمية في الخدمات الحكومية واللوجستية الحيوية.

أما في المملكة العربية السعودية، فقد رُصد نمط أكثر تخصصاً يستهدف الأنظمة المؤسسية بشكل مباشر عبر واجهات تحاكي أنظمة تخطيط موارد المؤسسات (ERP)، إلى جانب بوابات فواتير مزيفة، ومنصات استثمارية تحمل هويات شركات وطنية معروفة. ويتسق هذا النمط مع طبيعة الاقتصاد السعودي المعتمد على التحول الرقمي الواسع، كما يتقاطع مع تحذيرات الهيئة الوطنية للأمن السيبراني (NCA) بشأن مخاطر التصيد التي تستهدف البيانات والأجهزة الحساسة.

وعلى نطاق إقليمي أشمل، تداولت قنوات عامة، مثل Telegram، ادعاءات من جهات موالية لإيران حول استهداف أنظمة وقود، ومطارات، وخدمات مصرفية، في الأردن والكويت والبحرين.

ورغم أن هذه الادعاءات تفتقر أحياناً للتحقق المستقل، إلا أنها تمثل أداة للضغط النفسي والإعلامي تهدف إلى إرباك المؤسسات ودفعها نحو حالة استنفار دائم وتقويض استقرار البيئة الرقمية.

الاستجابة الاستراتيجية ومخاطر الهجمات التدميرية

يتقاطع التقييم التقني الحالي مع تحذيرات وطنية، كالتي أصدرها المركز الوطني للأمن السيبراني في الأردن بشأن الروابط المشبوهة التي تنتحل صفة الجهات الرسمية، مؤكداً أن الهجمات تستهدف الهوية الرقمية للمواطن بالتوازي مع الأنظمة التقنية.

ولا تتوقف المخاطر عند حدود الاحتيال، بل تمتد لتشمل برمجيات مراقبة يتم توزيعها عبر تطبيقات هواتف محمولة خبيثة تهدف لاستخراج البيانات، كخطوة استباقية قبل الانتقال لمرحلة الإتلاف الكلي عبر برمجيات Wiper.

ويرتبط هذا المشهد بتحذيرات حكومية دولية، مثل تنبيه وكالة CISA الصادر في يونيو 2025، حول استهداف الكيانات المرتبطة بسلاسل الإمداد أو الشركاء الغربيين، ما يعني أن المؤسسات الإقليمية قد تصبح أهدافاً عرضية نتيجة ارتباطاتها التقنية الدولية حتى في غياب الانخراط المباشر في النزاعات.

وتشير المعطيات إلى أن جزءاً كبيراً من هذا النشاط يمثل اقتصاداً احتيالياً يستغل الأزمات عبر تسجيل نطاقات هائلة واستخدام علامات تجارية محلية بتقنيات مراوغة تشمل تلاعباً بالامتدادات والنطاقات الفرعية.

لذا، بات من الضروري للمؤسسات في الشرق الأوسط وشمال أفريقيا مراجعة بروتوكولات الأمان، واختبار كفاءة النسخ الاحتياطية، وضمان القدرة على الاستعادة السريعة للأنظمة.