شهدت منطقة الشرق الأوسط تصعيداً ملحوظاً في الأنشطة السيبرانية المرتبطة بإيران، مع تسجيل حملة تجسس إلكتروني طويلة الأمد تستهدف جهات حكومية في العراق وحكومة إقليم كردستان.
وكشفت شركة «ESET» المتخصصة في الأمن السيبراني عن أن المجموعة المعروفة باسم «BladedFeline» طورت أدواتها بشكل ملحوظ منذ أولى نشاطاتها في عام 2017، وأبرز هذه الأدوات “Whisper”، وهو باب خلفي جديد يستخدم حسابات بريد «Microsoft Exchange» لتنفيذ الأوامر وتسريب البيانات عبر مرفقات البريد الإلكتروني.
ويتميّز “Whisper” بقدرته على التخفّي والاحتفاظ بالوصول دون إثارة الانتباه، في وقت كشفت فيه الأبحاث عن وحدة ضارة ضمن خدمات «IIS» تحت اسم “PrimeCache”، وهي تعمل من داخل عمليات خوادم شرعية دون الكشف عن نفسها.
وتضمنت الأدوات الأخرى التي تم نشرها أدوات نفق عكسي باسم “Laret” و”Pinar”، بالإضافة إلى عدد من البرمجيات المستخدمة بعد اختراق الأنظمة.
هذه الأدوات تمكّن المجموعة من:
- الحفاظ على وصول طويل الأمد إلى أهداف ذات قيمة عالية
- تجنّب الكشف باستخدام وسائل اتصال مشفّرة
- تنفيذ الأوامر عن بُعد عبر حسابات بريد إلكتروني موثوقة
- إخفاء الأنشطة الضارة ضمن عمليات الخوادم الشرعية
وتشير إعادة استخدام شيفرات برمجية من أدوات معروفة ضمن عملية “OilRig” الأوسع إلى احتمال أن تكون «BladedFeline» فرعاً فرعياً داخل هذه المنظومة، نظراً للتشابه في التصميم الوظيفي والتقني للبرمجيات.
وتتبع الخبراء أولى نقاط الوصول داخل حكومة إقليم كردستان إلى عام 2017، لتتسع لاحقاً وتشمل جهات حكومية عراقية إضافية وشركة اتصالات في أوزبكستان. وتشير التقارير إلى أن البرمجيات المحدثة ظلت نشطة حتى أوائل عام 2024، ما يعكس استمرار تطوير الأساليب وتوسيع نطاق العمليات.
وتُبرز هذه النقلة النوعية من أدوات بسيطة إلى مكونات خبيثة معقدة وقابلة للتخفي، نية واضحة في البقاء داخل بيئات حساسة سياسياً، ما يدعم التقييم بأن «BladedFeline» تسعى لتوسيع رقعة تجسسها في المنطقة دون استثارة الإنذارات.
وقالت «ESET» إن المجموعة ستواصل على الأرجح تطوير أدواتها بهدف تعزيز موطئ قدمها داخل الأنظمة المخترقة، مما يؤشر إلى حملة استخباراتية مستمرة برعاية جهات عليا.
