كشفت تقارير أمنية حديثة عن استمرار مجموعة APT34، المرتبطة بوزارة الاستخبارات والأمن الإيرانية (MOIS)، في تنفيذ عمليات تجسس إلكتروني تستهدف كيانات حكومية في كل من العراق واليمن، رغم ما يُفترض من علاقات سياسية ودينية وثيقة تجمع إيران بهذين البلدين.
أدوات مخصصة وحملات متجددة في العراق
منذ مارس 2024، رصد باحثو شركة Check Point ثلاث أدوات اختراق مخصصة وجديدة تمامًا:
- Veaty
- Spearal
- أداة ثالثة مجهولة تستخدم لإنشاء أنفاق SSH
تم تحميل هذه الأدوات على VirusTotal، وكانت تحمل امتدادات مزدوجة لتبدو وكأنها مستندات، ما يشير إلى أن آلية الاختراق الأساسية اعتمدت على رسائل التصيّد الإلكتروني (Phishing).
ما يميز الحملة هو أن الأداة Veaty استُخدمت لإرسال الأوامر وسرقة البيانات باستخدام حسابات بريد إلكتروني حكومية عراقية تم اختراقها. كما استخدم المهاجمون تقنيات متقدمة مثل:
- نفق SSH (SSH tunneling)
- نفق نظام أسماء النطاقات (DNS tunneling)
ورغم انكشاف هذه الحملة علنًا في سبتمبر الماضي، إلا أنها ما زالت نشطة حتى فبراير 2025، مع تغييرات طفيفة في البنية التحتية والأدوات المستخدمة، لكن دون أي تحوّل جوهري في التكتيكات أو الأساليب (TTPs).
الحملة في اليمن: أدوات أبسط ولكن بنفس الخلفية
في منتصف 2024، نفّذ فرع آخر من APT34 عملية مختلفة في اليمن، كانت أقل تعقيدًا من حيث الأدوات والأساليب. حيث استخدم المهاجمون برنامجًا خبيثًا بسيطًا باسم Power Service، وهو عبارة عن باب خلفي مبني باستخدام PowerShell.
استهدفت هذه الحملة جهات غير محددة تعمل في قطاع الاتصالات اليمني، ويُعتقد أن المجموعة نفسها كانت نشطة في العراق، لكن باستخدام أساليب مختلفة، ما يشير إلى وجود تنظيم داخلي متعدد الفرق يعمل ضمن إطار استخباراتي واحد تحت إشراف MOIS.
بنية غير مركزية وموارد مشتركة
يرى الباحثون أن APT34 ليست مجموعة موحدة بالمعنى التقليدي، بل هي شبكة من الفرق التي تتقاسم الأدوات والموارد، وقد تتناقل الوصول فيما بينها أو تعمل بشكل مستقل. بعض الأدوات تُستخدم بشكل مشترك، بينما يتم تطوير أدوات أخرى خصيصًا لكل حملة.
يعلق أحد الباحثين مازحًا:
“في مرحلة ما، أصبح اسم APT34 يُطلق على أي جهة تهديد إيرانية تقريبًا.”
تعثر الاستجابة الأمنية في المنطقة
يشير تقرير Check Point إلى ضعف الاستجابة للحوادث في بعض المؤسسات المستهدفة، حيث تبدأ إجراءات التصدي دون أن تُستكمل، مما يتيح للمهاجمين العودة لاحقًا واستئناف نشاطهم باستخدام نفس الثغرات.
خلاصة
تُظهر هذه الحملات أن إيران لا تتردد في التجسس على ما يُفترض أنهم حلفاؤها، مثل العراق واليمن، وأنها تواصل تعزيز حضورها السيبراني الإقليمي باستخدام تكتيكات مخصصة، وتنظيم مرن، وأدوات متقدمة وأخرى بسيطة حسب الحاجة.
