في تصعيد جديد للهجمات السيبرانية في المنطقة، كشفت شركة “Lookout” المتخصصة بأمن الأجهزة المحمولة أن مجموعة التهديدات المستمرة “MuddyWater” المدعومة من إيران، نشرت إصدارات محدثة من أداة التجسس المعروفة باسم “DCHSpy” على نظام أندرويد، وذلك منذ اندلاع النزاع بين إسرائيل وإيران.
وتُعرف هذه المجموعة منذ عام 2017 بأسماء عدة، منها “Mango Sandstorm” و”Mercury” و”Seedworm” و”Static Kitten”، وقد ربطتها الولايات المتحدة مباشرة بوزارة الاستخبارات والأمن الإيرانية. وتُتهم المجموعة بتنفيذ عمليات تجسس مركّزة على منطقة الشرق الأوسط، باستخدام برمجيات تجسسية تتخفى داخل تطبيقات خبيثة توزّع عبر قنوات “تلغرام”.
وبحسب “Lookout”، فقد استُخدمت عينات جديدة من “DCHSpy” في مهاجمة أهداف باستخدام تطبيقات مزيّفة تحمل أسماء مثل “Earth VPN” و”Comodo VPN” و”Hide VPN” و”Hazrat Eshq”، وجميعها وزّعت برسائل تتضمن محتوى سياسي مضلل باللغة الإنجليزية والفارسية.
وشرحت الشركة أن إحدى العينات الخبيثة التي كانت تتخفى تحت اسم “Earth VPN”، تم الترويج لها باستخدام رسائل دعائية توحي بأنها مرتبطة بخدمة “ستارلينك”، وذلك على خلفية التقارير التي زعمت أن الخدمة الأميركية قدمت اتصالات إنترنت للمواطنين الإيرانيين أثناء قطع الاتصالات في البلاد نتيجة الاشتباكات مع إسرائيل.
وتعتمد “DCHSpy” على بنية تجسسية متعددة الوظائف، إذ تتيح للمهاجمين جمع بيانات من الأجهزة المصابة تشمل: الحسابات، والرسائل النصية، وسجلات المكالمات، وملفات التخزين المحلية، والمواقع الجغرافية، وبيانات “واتساب”، كما يمكنها تفعيل الكاميرا والميكروفون سراً لتسجيل الصور والصوت. وتُنقل هذه البيانات إلى خوادم بعيدة بعد ضغطها وتشفيرها بكلمة مرور يتم استلامها من الخادم المركزي.
وتشترك أداة “DCHSpy” مع أداة أخرى تُدعى “SandStrike” في البنية التحتية وتكتيكات الانتشار. وقد تم اكتشاف نموذج منها يتضمن ملف إعدادات VPN خبيثاً يستخدم لتثبيت برنامج “PowerShell RAT” مرتبط بـ”MuddyWater”.
وتقول “Lookout” إن توزيع البرمجيات الخبيثة تم عبر روابط مزيفة نُشرت في تطبيقات المراسلة، وخصوصاً “تلغرام”، ما يدل على استهداف مباشر لمجموعات معينة، غالباً ما تكون معارضة للسلطات الإيرانية أو مهتمة بالوصول إلى معلومات خارجية.
ويُظهر التقرير الأخير أن المجموعة مستمرة في تطوير أدواتها، حيث وثّقت “Lookout” 17 عائلة برمجية مختلفة استخدمتها ما لا يقل عن 10 مجموعات تهديد إيرانية في عمليات تجسس على مستخدمي الهواتف المحمولة. وتؤكد هذه المعطيات على تصاعد الهجمات السيبرانية مع التطورات الجيوسياسية، لا سيما في ظل تزايد القيود الحكومية الإيرانية على الاتصالات بعد إعلان وقف إطلاق النار مع إسرائيل.
