تصاعد الهجمات الإيرانية في 2026: كيف تستهدف مجموعات APT البنوك السعودية بأسلحة هجومية جديدة

في مارس 2026، أصدر فريق Unit 42 التابع لـ Palo Alto Networks تحذيراً استثنائياً: التهديدات السيبرانية المرتبطة بإيران بلغت مستوى تصعيد لم يُشهد منذ عام 2019، وعلى رأس قائمة الأهداف تقف المؤسسات المالية السعودية والبنية التحتية الحيوية في منطقة الخليج. هذه ليست تقديرات نظرية — بل معطيات استخباراتية موثقة تستوجب استجابة فورية من مسؤولي الأمن السيبراني والامتثال في القطاع المالي.

الصورة الكاملة: ما الذي رصده Unit 42 في تقرير مارس 2026؟

وثّق التقرير ثلاثة مسارات هجومية متزامنة تعمل بتنسيق لافت. الأول هو التصيد الاحترافي المستهدف لأنظمة ERP والمنصات المصرفية، حيث يستخدم المهاجمون نطاقات فرعية مخصصة تحاكي خدمات Microsoft Outlook لإيهام الضحايا بشرعية الصفحة قبل سرقة بيانات الاعتماد. الثاني هو توظيف أدوات اختراق الهوية (Identity Weaponization)، إذ انتقل التركيز من هجمات حذف البيانات التقليدية نحو انتحال هويات المستخدمين داخل بيئات Microsoft 365 وEntra ID للتحرك أفقياً دون إثارة التنبيهات الأمنية. الثالث هو استهداف الأنظمة التشغيلية OT في قطاع الطاقة، وهو ما يرفع احتمالية التأثير غير المباشر على القطاع المالي المرتبط ارتباطاً وثيقاً بهذه البنية التحتية الحيوية.

المجموعات الفاعلة: من يقف وراء هذه الهجمات؟

تبرز مجموعتان رئيسيتان في هذه الموجة التصعيدية. الأولى هي Seedworm (المعروفة أيضاً بـ MuddyWater)، وهي مجموعة APT إيرانية نشطة منذ 2017، وثّق Unit 42 اختراقها لشبكات مؤسسات مصرفية وشركات برمجيات في المنطقة خلال الربع الأول من 2026. تعتمد هذه المجموعة بشكل مقصود على أدوات الوصول عن بُعد المشروعة مثل Atera وSimpleHelp وScreenConnect لإخفاء نشاطها وسط حركة الشبكة الاعتيادية، مما يجعل كشفها بالأدوات التقليدية أمراً بالغ الصعوبة. الثانية هي Handala Hack، وهي جهة تهديد أكثر عدوانية تستخدم برمجيات حذف البيانات (Wipers) واستهدفت صراحةً البنية التحتية للطاقة في إسرائيل والأردن والمملكة العربية السعودية، مع ادعاءات موثقة باستهداف جهات في القطاع المالي السعودي وصلت إلى حد الإعلان العلني عن اختراق موقع بنك الرياض.

التأثير المباشر على المؤسسات المالية السعودية

تُلزم المتطلبات الجوهرية لإطار SAMA CSCC المؤسساتِ المالية بامتلاك برامج استخبارات تهديدات استباقية وإجراء تقييمات مخاطر دورية تأخذ بعين الاعتبار التهديدات الجيوسياسية الإقليمية. التصعيد الراهن يضع هذا الالتزام على المحك بشكل مباشر. كذلك، فإن الاعتماد الواسع على منصات Microsoft 365 وEntra ID في البنوك السعودية يجعل هجمات انتحال الهوية عالية الخطورة بشكل خاص؛ إذ يكفي اختراق حساب واحد ذي صلاحيات مُوسَّعة للتحرك أفقياً داخل الشبكة والوصول إلى بيانات العملاء، أو ما هو أخطر، إلى أنظمة المدفوعات والتحويلات المصرفية. وفيما يتعلق بمتطلبات PDPL، فإن أي اختراق ناجح يستوجب الإبلاغ عنه خلال 72 ساعة للجهة الوطنية للبيانات، مع احتمالية فرض غرامات تصل إلى 5 ملايين ريال.

التوصيات والخطوات العملية

1. راجع إعدادات الوصول المشروط في Microsoft Entra ID فوراً: تأكد من تفعيل MFA على جميع الحسابات المميزة، وطبّق سياسات Zero Trust Access على الوصول إلى التطبيقات الحساسة، مع تفعيل تنبيهات تسجيل الدخول غير المألوفة.
2. ابحث عن مؤشرات Seedworm في شبكتك الآن: راجع سجلات الأنظمة وحلول EDR بحثاً عن تثبيت أدوات Atera أو SimpleHelp أو ScreenConnect بشكل غير مصرح به، وابحث عن عمليات PowerShell مشبوهة تستخدم أوامر مشفرة Base64.
3. قيّد النطاقات الفرعية المشبوهة في بوابات البريد: ضع قوائم رفض لنماذج التصيد القائمة على نطاقات فرعية تحاكي microsoft.com وoutlook.com وبوابات ERP الداخلية، مع تفعيل DMARC وDKIM وSPF على جميع نطاقات البريد المستخدمة.
4. حدّث خطط الاستجابة للحوادث لتشمل سيناريو Wiper: أضف سيناريوهات هجمات حذف البيانات واستهداف الأنظمة التشغيلية OT ضمن تمارين المحاكاة الدورية بما يتوافق مع متطلبات SAMA BCP وخطط استمرارية الأعمال.
5. اشترك في خلاصات استخبارات التهديدات الإقليمية: استفد من مصادر Unit 42 وتقارير CISA AA25 و NCA ECC للحصول على مؤشرات الاختراق IOCs المحدّثة المرتبطة بـ Seedworm وHandala.

الخلاصة

التصعيد السيبراني المرتبط بالتوترات الجيوسياسية لم يعد سيناريو افتراضي — إنه واقع موثق بتقارير استخباراتية متعددة في الربع الأول من 2026. المؤسسات المالية السعودية التي تمتلك برامج استخبارات تهديدات ناضجة، ودفاعات هوية محكمة، وأنظمة رصد متطورة هي الأكثر قدرة على الصمود في مواجهة هذه الموجة. الامتثال لـ SAMA CSCC وNCA ECC ليس مجرد بند إداري — بل هو خط الدفاع الأول في مواجهة حرب سيبرانية تشتعل على حدود المنطقة.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.