أعلنت شركة الأمن السيبراني "Group-IB" ومقرها في سنغافورة أن مجموعة القرصنة التابعة للنظام الإيراني والمعروفة باسم "MuddyWater" نفذت حملة تصيّد إلكتروني معقدة استهدفت أكثر من 100 مؤسسة في منطقة الشرق الأوسط وشمال أفريقيا.
وقالت الشركة في تقرير صدر يوم الأربعاء، 22 أكتوبر 2025، إن المهاجمين استخدموا حساب بريد إلكتروني مخترقًا لنشر برامج خبيثة بين مؤسسات مختلفة، بما في ذلك هيئات حكومية.
وذكرت أن الهدف الرئيسي من هذه العملية هو جمع معلومات سياسية وأمنية من منظمات دولية.
وفي هذه الحملة، استخدم القراصنة خدمة الـVPN القانونية للوصول إلى صناديق بريد الضحايا، وأرسلوا رسائل إلكترونية تحتوي على مرفقات خبيثة، كانت ملفات Word تُشغّل عند تفعيل خاصية الماكرو(Macros) أكوادًا ضارة تُثبت الإصدار الرابع من برنامج التجسس "Phoenix Backdoor" على جهاز الضحية.
وأشار التقرير إلى أن هذا البرنامج الخبيث يُنفَّذ باستخدام أداة حقن تُعرف باسم "FakeUpdate"، ثم يتصل بخادم التحكم والسيطرة (C2) لجمع البيانات المستهدفة واستقبال أوامر جديدة من القراصنة.
وأوضح خبراء الشركة أن بنية الكود والخوادم وأدوات التنفيذ في هذه العملية تتطابق مع حملات سابقة نفذتها مجموعة "MuddyWater"، مؤكدين بـ"درجة عالية من اليقين" أن هذه المجموعة هي المسؤولة عن الهجمات الأخيرة.
وأضاف التقرير أن في البنية التحتية للتحكم الخاصة بالمجموعة، تم اكتشاف أدوات للتحكم عن بُعد بالإضافة إلى برنامج لسرقة كلمات المرور من المتصفحات. وقد صُمم البرنامج الخبيث بمظهر يشبه آلة حاسبة لخداع المستخدمين وعدم إثارة الشكوك، وهو قادر على استخراج البيانات المخزنة في متصفحات مثل "Chrome"، "Brave"، و"Opera".
كما أعلنت الوكالة الوطنية للأمن السيبراني الإسرائيلية في22 أكتوبر (تشرين الأول) 2025 عن اكتشاف موجة من الهجمات الإلكترونية ضد شركات إسرائيلية عاملة في قطاع خدمات تكنولوجيا المعلومات، يُرجّح ارتباطها بالنظام الإيراني.
وأوضحت الوكالة أن الهجوم الفاشل على مركز "شامير" الطبي خلال عيد "يوم كيبور" في أوائل أكتوبر الجاري، والذي أدى إلى تسريب رسائل إلكترونية تحتوي على معلومات حساسة عن المرضى، كان محاولة من إيران لتعطيل عمل المستشفى. ومع ذلك، تم احتواء الهجوم قبل أن تُصاب أنظمة الملفات الطبية المركزية بأي ضرر.
وكان مقرر الأمم المتحدة الخاص قد ذكر سابقًا أن إيران تستخدم التهديدات والهجمات السيبرانية كوسيلة للقمع العابر للحدود.
وختمت شركة "Group-IB" تقريرها بالتأكيد على أن "MuddyWater"، المرتبطة بالنظام الإيراني، لا تزال من أكثر مجموعات التجسس الإلكتروني نشاطًا في المنطقة، وقد توسعت عملياتها لتشمل الشرق الأوسط وأوروبا وأفريقيا وأميركا الشمالية.
وأضافت الشركة: لقد تمكنت مجموعة "MuddyWater" من رفع مستوى التخفي والاستمرارية بشكل كبير، من خلال الجمع بين البرمجيات الخبيثة الخاصة بها والأدوات التجارية القانونية.
وحذر الخبراء من أنه نظرًا لتركيز هذه المجموعة على الأهداف الحكومية والتوترات الجيوسياسية المتزايدة في المنطقة، فمن المتوقع أن تستمر مثل هذه العمليات في المستقبل القريب.
