مجموعة MuddyWater الإيرانية تتخفى خلف فدية Chaos لتنفيذ تجسس سيبراني على بنوك ومطارات

كشف تحقيق جديد أجراه فريق Rapid7 أن اختراقاً بدا في ظاهره هجوم فدية تقليدياً من نوع Chaos Ransomware كان في حقيقته عملية تجسس سيبراني مدبّرة تقف خلفها مجموعة MuddyWater الإيرانية المرتبطة بوزارة الاستخبارات والأمن الإيرانية (MOIS). العملية استهدفت بنكاً أمريكياً ومطاراً ومؤسسات دفاعية، واستخدمت تكتيك "الراية الكاذبة" لإخفاء أهدافها الاستخباراتية الحقيقية.

ما الذي حدث: عملية تجسس بقناع فدية

في مطلع 2026، رصد محللو Rapid7 اختراقاً لعدة مؤسسات في الولايات المتحدة وكندا، شمل بنكاً أمريكياً ومطاراً ومنظمات غير ربحية وموردّ برمجيات يخدم قطاع الدفاع والطيران بعمليات في إسرائيل. المهاجمون نشروا برنامج Chaos Ransomware وتركوا رسائل فدية تقليدية، لكن التحليل الجنائي كشف أن التشفير كان ثانوياً — الهدف الحقيقي كان سرقة البيانات والتجسس طويل الأمد.

ربط الباحثون العملية بثقة متوسطة بمجموعة MuddyWater (المعروفة أيضاً باسم Seedworm وMango Sandstorm وTA450)، وهي مجموعة APT إيرانية نشطة منذ 2017 وتستهدف بشكل أساسي دول الشرق الأوسط والقطاع المالي والحكومي. الأدلة التقنية تضمنت شهادة توقيع رقمي محددة وبنية تحتية للتحكم والسيطرة (C2) معروفة الارتباط بالمجموعة.

أساليب الهجوم: من Microsoft Teams إلى السيطرة الكاملة

اعتمد المهاجمون على سلسلة هجوم متقدمة بدأت بالهندسة الاجتماعية عبر Microsoft Teams، حيث تواصلوا مع الضحايا وأقنعوهم بمشاركة شاشاتهم في جلسات تفاعلية. خلال هذه الجلسات، نفّذ المهاجمون عمليات حصاد بيانات الاعتماد (Credential Harvesting) للحصول على صلاحيات الوصول الأولية.

بعد تثبيت موطئ القدم، نشر المهاجمون أدوات إدارة عن بُعد شرعية مثل AnyDesk وDWAgent لضمان الاستمرارية وتجنب أنظمة الكشف. هذا التكتيك — المعروف باسم Living off the Land — يجعل الكشف أصعب لأن الأدوات المستخدمة ليست برمجيات خبيثة بحد ذاتها. في المرحلة الأخيرة فقط، نُشر Chaos Ransomware كغطاء لتعقيد عملية التحقيق الجنائي وإخفاء آثار التجسس.

لماذا "الراية الكاذبة"؟ تكتيك التمويه الاستخباراتي

استخدام الفدية كغطاء للتجسس ليس تكتيكاً جديداً، لكنه يتصاعد بشكل ملحوظ في 2026. الهدف ثلاثي: أولاً، تعقيد عملية الإسناد (Attribution) بحيث يبدو الهجوم جنائياً وليس استخباراتياً. ثانياً، إجبار فريق الاستجابة على التركيز على استعادة البيانات المشفرة بدلاً من تتبع البيانات المسروقة. ثالثاً، توفير إنكار معقول للجهة الحكومية الراعية.

تقارير Rapid7 تشير إلى أن MuddyWater كثّفت عملياتها بشكل ملحوظ منذ مطلع 2026، مع تركيز على التجسس والتموضع المسبق لعمليات تخريبية محتملة عبر شبكات غربية وشرق أوسطية. هذا التصعيد يتزامن مع التوترات الجيوسياسية المتزايدة في المنطقة.

التأثير المباشر على المؤسسات المالية السعودية

المؤسسات المالية السعودية الخاضعة لرقابة SAMA تواجه تهديداً مضاعفاً من هذا النوع من العمليات. أولاً، القطاع المالي السعودي هدف تقليدي لمجموعات APT الإيرانية بحكم الجغرافيا السياسية. ثانياً، إطار SAMA CSCC يُلزم المؤسسات بقدرات متقدمة في كشف التهديدات المتقدمة والاستجابة للحوادث، وهجمات الراية الكاذبة تختبر هذه القدرات بشكل مباشر.

كذلك، يتطلب إطار NCA ECC من المؤسسات الحكومية والبنية التحتية الحرجة تطبيق استخبارات التهديدات (Threat Intelligence) المحدثة، خاصة ما يتعلق بمؤشرات الاختراق (IoCs) لمجموعات التهديد الإقليمية. أما نظام PDPL فيضع مسؤولية إضافية على المؤسسات لحماية البيانات الشخصية من عمليات التسريب المرتبطة بالتجسس، وليس فقط الفدية.

التوصيات والخطوات العملية

1. مراجعة سياسات Microsoft Teams: قيّد إمكانية التواصل مع مستخدمين خارجيين عبر Teams، وعطّل ميزة مشاركة الشاشة مع جهات خارج المؤسسة. هذا المتجه الأولي هو الذي استغلته MuddyWater للاختراق.
2. رصد أدوات الإدارة عن بُعد: أنشئ قواعد كشف في SIEM/EDR لرصد تثبيت أو تشغيل AnyDesk وDWAgent وTeamViewer وأدوات مشابهة دون تصريح مسبق من فريق تقنية المعلومات.
3. تحديث مؤشرات الاختراق: أدمج IoCs المنشورة من Rapid7 وMandiant المتعلقة بـ MuddyWater في منصة استخبارات التهديدات لديك (MISP أو TIP)، وفعّل المطابقة التلقائية في SOC.
4. تدريب على سيناريو الراية الكاذبة: نفّذ تمارين طاولة (Tabletop Exercises) تحاكي هجوم فدية يتبين لاحقاً أنه غطاء لعملية تجسس. اختبر قدرة فريق الاستجابة على التحول من وضع استعادة البيانات إلى وضع التحقيق في التسريب.
5. تعزيز مراقبة التسريب: فعّل أدوات DLP على بوابات البريد الإلكتروني والويب وقنوات التخزين السحابي. عمليات MuddyWater تركز على سحب البيانات قبل نشر الفدية.
6. تدقيق صلاحيات الوصول عن بُعد: راجع جميع حسابات VPN والوصول عن بُعد وفقاً لمبدأ أقل صلاحية (Least Privilege)، وفعّل MFA مقاوم للتصيد (FIDO2/WebAuthn) على جميع نقاط الدخول.

الخلاصة

عملية MuddyWater الأخيرة تؤكد أن خط الفصل بين الجريمة السيبرانية والتجسس الحكومي يزداد ضبابية. المؤسسات المالية السعودية التي تكتفي بخطط استجابة مصممة لهجمات الفدية التقليدية تُعرّض نفسها لخطر تجاهل عمليات تسريب بيانات أخطر بكثير. المطلوب هو نضج في قدرات الكشف والاستجابة يتجاوز السؤال "هل تم تشفير بياناتنا؟" إلى "هل تم نسخ بياناتنا وتسريبها؟"

هل مؤسستك مستعدة لهجمات الراية الكاذبة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وقدرات الاستجابة لتهديدات APT الإقليمية.