انتحال تطبيقات المراسلة الآمنة في هجمات تجسس استهدفت الشرق الأوسط

كشفت تحقيقات تقنية حديثة عن حملة تجسس رقمي منظمة استهدفت أفراداً من المجتمع المدني في منطقة الشرق الأوسط، حيث يعود تاريخ بدء هذه العمليات إلى عام 2022 كحد أدنى. اعتمدت هذه الحملة على استخدام نسخ مزيفة من تطبيقات مراسلة واسعة الانتشار مثل Signal وToTok وBotim، بهدف زرع برمجية تجسس متطورة تعمل على نظام Android تُعرف باسم ProSpy.

ووفقاً للنتائج، شمل نطاق الاستهداف فئات متنوعة تضم صحفيين ومعارضين سياسيين ونشطاء حقوقيين. كما أكدت المؤشرات التقنية وصول هذا النشاط إلى دول عدة، منها مصر، والبحرين، والإمارات، والمملكة العربية السعودية، ولبنان، والمملكة المتحدة؛ مع وجود احتمالات تقنية تشير إلى امتداد التأثير ليصل إلى الولايات المتحدة الأمريكية.

بدأت ملامح هذه الحملة في الظهور بشكل ملموس خلال شهر أغسطس من عام 2025، وذلك في أعقاب تلقي خط المساعدة للأمن الرقمي التابع لمنظمة Access Now بلاغات تفصيلية حول هجمات تصيد موجهة بدقة عالية استهدفت صحفيين ومعارضين مصريين. ورصد الباحثون أثناء التحليل الفني برمجية خبيثة ترتبط بالبنية التحتية ذاتها المستخدمة في عمليات التصيد.

جرى لاحقاً تعاون فني مع فريق Lookout Threat Intelligence لربط العناصر البرمجية وتحديد الجهة المسؤولة عن التنفيذ، حيث خلصت التحقيقات إلى تصنيف هذه العملية ضمن نموذج “التجسس المأجور”. ووجدت التحقيقات ارتباطات تقنية واضحة ببنية تحتية تستخدمها مجموعة BITTER APT، المعروفة أيضاً باسم T-APT-17، وهي مجموعة تشير التقارير البحثية المتوفرة إلى ارتباط نشاطها بمصالح استخباراتية هندية.

آليات الاستدراج وتقنيات الهندسة الاجتماعية

تؤكد التحليلات الصادرة عن شركة Lookout أن هذا النشاط الرقمي استمر بشكل متواصل منذ عام 2022 وحتى الوقت الراهن، مع تركيز العمليات أساساً على منظمات المجتمع المدني، إلى جانب احتمالات قوية لاستهداف جهات حكومية أيضاً.

استند هذا التقييم الفني إلى فحص دقيق لنطاقات التصيد، وعينات البرمجيات، وخوادم القيادة والتحكم، بالإضافة إلى مواقع إلكترونية مزيفة صُممت خصيصاً لاستدراج الضحايا. وقد تمكن المحققون من جمع 11 عينة برمجية من عائلة ProSpy تعود أقدمها إلى أغسطس 2024؛ ساعدت في فهم مراحل تطور البرمجية وآليات انتشارها الجغرافي في المنطقة.

تتبع الحملة مساراً تدريجياً يبدأ ببناء الثقة مع الهدف عبر حسابات وشخصيات وهمية على منصات التواصل الاجتماعي أو تطبيقات المراسلة الفورية. وقد انتحلت بعض هذه الحسابات صفة الدعم الفني لشركة Apple عبر خدمة iMessage، بينما وظفت حسابات أخرى منصة LinkedIn لخلق سياقات مهنية أو شخصية مقنعة للضحية.

بمجرد ترسيخ حالة الثقة، يُرسل رابط تصيد يقود مستخدمي أجهزة Android إلى مواقع تحاكي صفحات تحديث التطبيقات الرسمية، لتبدأ إثر ذلك عملية تنزيل ملف خبيث يظهر للمستخدم كأنه تطبيق شرعي أو تحديث أمني ضروري. وفي حالة موثقة، تلقى أحد الأهداف دعوة مزيفة لمكالمة فيديو آمنة، أدى الضغط عليها إلى انتقال المستخدم لصفحة تحاكي تحديث تطبيق ToTok، ليبدأ تنزيل الملف الخبيث تلقائياً.

التحليل الفني لبرمجية ProSpy وقدرات التجسس

أظهرت التحقيقات أن صفحات الهبوط كانت متاحة باللغتين العربية والإنجليزية؛ ما يعكس تخصيصاً دقيقاً للهجمات لتناسب الجمهور الناطق بالعربية. وضمت المواقع المزيفة نسخاً من تطبيقي Signal وBotim بتصاميم بصرية تحاكي النسخ الأصلية بدقة عالية، بهدف تقليل ارتياب المستخدمين وتضليلهم.

أما من الناحية التقنية الصرفة، فتُصنف ProSpy كبرمجية خبيثة مطورة بلغة Kotlin، وتعتمد في تصميمها على بنية كائنية تتيح توزيع المهام على مكونات مستقلة، حيث يختص كل مكون وظيفي بجمع نوع محدد من البيانات الحساسة.

وتمتلك البرمجية قدرة وصول كاملة إلى قائمة جهات الاتصال، ورسائل SMS، ومعلومات الجهاز الدقيقة، فضلاً عن فحص وحدة التخزين المحلية لاستخراج الصور، والملفات الصوتية، ومقاطع الفيديو، والمستندات، والملفات المضغوطة. وتجري عملية نقل هذه البيانات المستخرجة بشكل صامت وخفي إلى خوادم بعيدة يتحكم بها المهاجمون.

وبمجرد اكتمال التثبيت، تبدأ البرمجية بالاتصال بخادم القيادة والتحكم (C2) باستخدام مكتبة Retrofit، لتنفيذ مجموعة أوامر برمجية قد تصل إلى 10 أوامر مخصصة لجمع ونقل البيانات المخزنة على الهاتف.

ترافق نشاط ProSpy مع رصد برمجية أخرى تدعى ToSpy، حيث أشارت تقارير شركة ESET المنشورة في أكتوبر 2025 إلى رصد نشاطهما في دولة الإمارات، مع توضيح قدرة هذه البرمجيات على استخراج الرسائل والملفات الحساسة عبر المواقع المزيفة.

وفي السياق الميداني، وثقت منظمة Access Now استهداف الصحفيين المصريين مصطفى الأعصر وأحمد الطنطاوي خلال عامي 2023 و2024 عبر رسائل تصيد عالية التخصيص. كما كشف تحقيق لمنظمة SMEX عن استهداف صحفي لبناني في عام 2025 عبر رسائل على Apple Messages وWhatsApp، تضمنت روابط تنتحل صفة خطوات التحقق من الهوية لخدمات Apple.

تُعد هذه الحملة أول حالة موثقة تربط بين بنية مجموعة BITTER واستهداف المجتمع المدني في منطقة الشرق الأوسط وشمال أفريقيا بهذا النطاق الواسع، وهو ما يؤكد استمرار فاعلية تقنيات الهندسة الاجتماعية عند تصميمها بعناية فائقة.