حذر باحثو الأمن السيبراني من تصاعد نشاط القرصنة الانتقامية في أعقاب الحملة العسكرية المنسقة بين الولايات المتحدة وإسرائيل ضد إيران، والتي تحمل الاسم الرمزي “الغضب الملحمي” و”الأسد الهادر”.
أفادت شركة رادوير في تقرير لها يوم الثلاثاء بأن “تهديد القرصنة الإلكترونية في الشرق الأوسط غير متوازن بشكل كبير، حيث تقود مجموعتان، هما Keymous+ وDieNet، ما يقرب من 70% من جميع أنشطة الهجمات الإلكترونية بين 28 فبراير و2 مارس”.
وقد شنّت مجموعة Hider Nex التونسية (المعروفة أيضًا باسم Tunisian Maskers Cyber Force) أول هجوم حجب الخدمة الموزع (DDoS) في 28 فبراير 2026.
بحسب التفاصيل التي نشرتها شركة أورانج سايبر ديفنس، فإنّ Hider Nex جماعة قرصنة تونسية غامضة تدعم القضية الفلسطينية.
وتعتمد هذه الجماعة استراتيجية القرصنة والتسريب، حيث تجمع بين هجمات الحرمان من الخدمة الموزعة (DDoS) واختراقات البيانات لتسريب بيانات حساسة والترويج لأجندتها الجيوسياسية. وقد ظهرت الجماعة في منتصف عام 2025.
إجمالاً، تم تسجيل 149 بلاغاً عن هجمات حجب الخدمة الموزعة (DDoS) استهدفت 110 منظمات مختلفة في 16 دولة. ونُفذت هذه الهجمات من قبل 12 مجموعة مختلفة، من بينها Keymous+ و DieNet و NoName057(16)، والتي شكلت 74.6% من إجمالي النشاط.
من بين هذه الهجمات، تركزت الغالبية العظمى، 107 هجمات، في الشرق الأوسط، مستهدفةً بشكل غير متناسب البنية التحتية العامة وأهدافاً على مستوى الدول.
وكانت أوروبا هدفاً لـ 22.8% من إجمالي النشاط العالمي خلال تلك الفترة. وينتمي ما يقرب من 47.8% من جميع المنظمات المستهدفة عالمياً إلى القطاع الحكومي، يليه القطاع المالي (11.9%) ثم قطاع الاتصالات (6.7%).
قال رادوير:
يتوسع نطاق الهجمات الإلكترونية بالتوازي مع نظيرتها المادية في المنطقة، حيث تستهدف مجموعات القرصنة الإلكترونية في الوقت نفسه دولاً في الشرق الأوسط أكثر من أي وقت مضى.
وتركزت الهجمات في المنطقة بشكل كبير في ثلاث دول محددة: الكويت وإسرائيل والأردن، حيث شكلت الكويت 28%، وإسرائيل 27.1%، والأردن 21.5% من إجمالي الهجمات المزعومة.
وفقًا لبيانات من Flashpoint و Palo Alto Networks Unit 42 و Radware، إلى جانب Keymous+ و DieNet و NoName057(16)، تشمل بعض المجموعات الأخرى التي شاركت في عمليات القرصنة:
- Nation of Saviors (NOS)
- Conquerors Electronic Army (CEA)
- Sylhet Gang
- 313 Team
- Handala Hack
- APT Iran
- Cyber Islamic Resistance
- Dark Storm Team
- FAD Team
- Evil Markhors
- PalachPro
فيما يلي النطاق الحالي للهجمات الإلكترونية:
- زعمت جماعات القرصنة الموالية لروسيا مثل كاردينال والفيلق الروسي أنها اخترقت الشبكات العسكرية الإسرائيلية، بما في ذلك نظام الدفاع الصاروخي القبة الحديدية.
- رُصدت حملة تصيد احتيالي نشطة عبر الرسائل النصية القصيرة، تستخدم نسخةً مُقلّدةً من تطبيق RedAlert التابع لقيادة الجبهة الداخلية الإسرائيلية، بهدف نشر برامج خبيثة للتجسس على الهواتف المحمولة وسرقة البيانات. وقالت شركة CloudSEK: “من خلال التلاعب بالضحايا لحملهم على تثبيت ملف APK الخبيث هذا تحت ستار تحديث عاجل لحالة الحرب، ينجح المهاجمون في نشر واجهة تنبيه فعّالة تخفي محرك تجسس متطفل مصمم لاستهداف السكان شديدي الحذر”.
- قال موقع فلاش بوينت إن الحرس الثوري الإيراني استهدف قطاعي الطاقة والبنية التحتية الرقمية في الشرق الأوسط، وضرب شركة أرامكو السعودية ومركز بيانات أمازون ويب سيرفيسز في الإمارات العربية المتحدة بهدف إلحاق أقصى قدر من الضرر الاقتصادي العالمي كضغط مضاد للخسائر العسكرية.
- أعادت مجموعة Cotton Sandstorm (المعروفة أيضاً باسم Haywire Kitten) إحياء هويتها الإلكترونية القديمة، “فريق الطوفان“، مدعيةً اختراق مواقع إلكترونية في البحرين. وقالت شركة تشيك بوينت: “يعكس هذا طبيعة حملات هذه المجموعة التفاعلية، واحتمالية تورطها بشكل أكبر في عمليات اختراق أخرى في أنحاء الشرق الأوسط وسط الصراع الدائر”.
- تُظهر البيانات التي جمعتها شركة Nozomi Networks أن مجموعة القرصنة الإيرانية المدعومة من الدولة والمعروفة باسم UNC1549 (المعروفة أيضًا باسم GalaxyGato أو Nimbus Manticore أو Subtle Snail) كانت رابع أكثر الجهات الفاعلة نشاطًا في النصف الثاني من عام 2025، حيث ركزت هجماتها على الدفاع والفضاء والاتصالات السلكية واللاسلكية والكيانات الحكومية الإقليمية لتعزيز الأولويات الجيوسياسية للبلاد.
- ظلت منصات تداول العملات الرقمية الإيرانية الرئيسية تعمل، لكنها أعلنت عن تعديلات تشغيلية، إما بتعليق عمليات السحب أو تجميعها، وأصدرت توجيهات بشأن المخاطر تحث المستخدمين على الاستعداد لاحتمال انقطاع الاتصال.
- قال آري ريدبورد، الرئيس العالمي للسياسات في مختبرات TRM: “ما نشهده في إيران ليس دليلاً قاطعاً على هروب جماعي لرؤوس الأموال، بل هو بالأحرى سوقٌ تُدير تقلباتها في ظل محدودية الاتصال والتدخلات التنظيمية. لسنوات، أدارت إيران اقتصاداً خفياً استخدم، جزئياً، العملات الرقمية للتحايل على العقوبات، بما في ذلك عبر بنية تحتية متطورة في الخارج. ما نشهده الآن في ظل ضغوط الحرب وانقطاع الاتصال وتقلبات الأسواق هو اختبار حقيقي لقدرة هذه البنية التحتية على التحمل، وقدرة النظام على استغلالها.”
- وقالت شركة سوفوس إنها “لاحظت زيادة في نشاط القرصنة الإلكترونية، ولكن ليس تصعيدًا في المخاطر”، وذلك بشكل أساسي من شخصيات مؤيدة لإيران، بما في ذلك فريق Handala Hack و APT Iran في شكل هجمات الحرمان من الخدمات وتشويه مواقع الويب وادعاءات غير مؤكدة عن اختراقات تتعلق بالبنية التحتية الإسرائيلية.
- قام المركز الوطني للأمن السيبراني في المملكة المتحدة (NCSC) بتنبيه المنظمات إلى تزايد خطر الهجمات السيبرانية الإيرانية، وحثها على تعزيز وضعها في مجال الأمن السيبراني للاستجابة بشكل أفضل لهجمات هجمات الحرمان من الخدمات وأنشطة التصيد الاحتيالي واستهداف أنظمة التحكم الصناعية.
في منشور تمت مشاركته على موقع لينكد إن، قالت سينثيا كايزر، نائبة الرئيس الأولى لمركز أبحاث برامج الفدية في هالسيون ونائبة المدير المساعد السابقة في قسم الجرائم الإلكترونية التابع لمكتب التحقيقات الفيدرالي، إن إيران لديها سجل حافل في استخدام العمليات الإلكترونية للرد على “الإهانات السياسية المتصورة”، مضيفة أن هذه الأنشطة قد تضمنت بشكل متزايد برامج الفدية.
وأضاف كايزر:
لطالما فضّلت طهران غض الطرف، أو على الأقل التغاضي، عن العمليات الإلكترونية الخاصة التي تستهدف أهدافًا في الولايات المتحدة وإسرائيل ودول حليفة أخرى. ذلك لأن الوصول إلى مجرمي الإنترنت يمنح الحكومة خيارات متعددة.
وبينما تدرس إيران ردها على العمليات العسكرية الأمريكية والإسرائيلية، فمن المرجح أن تُفعّل أيًا من هؤلاء الفاعلين الإلكترونيين إذا اعتقدت أن عملياتهم قادرة على إحداث أثر انتقامي ملموس.
وقد قيّمت شركة الأمن السيبراني SentinelOne أيضاً بثقة عالية أن المنظمات في إسرائيل والولايات المتحدة والدول الحليفة من المرجح أن تواجه استهدافاً مباشراً أو غير مباشر، لا سيما داخل القطاعات الحكومية والبنية التحتية الحيوية والدفاع والخدمات المالية والأكاديمية والإعلامية.
قالت شركة نوزومي نتووركس:
لطالما أظهرت الجهات الإيرانية الفاعلة في مجال التهديدات استعداداً لدمج عمليات التجسس والتخريب والتأثير النفسي لتحقيق أهداف استراتيجية.
وفي فترات عدم الاستقرار، غالباً ما تتكثف هذه العمليات، مستهدفةً البنية التحتية الحيوية وشبكات الطاقة والكيانات الحكومية والقطاع الخاص، متجاوزةً بذلك منطقة النزاع المباشرة.
قال آدم مايرز، رئيس عمليات مكافحة الخصوم في شركة كراود سترايك، في بيان تم مشاركته مع موقع ذا هاكر نيوز:
في الصراعات السابقة، قام الفاعلون السيبرانيون التابعون لطهران بمواءمة نشاطهم مع أهداف استراتيجية أوسع نطاقاً تزيد من الضغط والوضوح على الأهداف، بما في ذلك الطاقة والبنية التحتية الحيوية والمالية والاتصالات والرعاية الصحية.
واصل الخصوم الإيرانيون تطوير أساليبهم، وتوسعوا إلى ما هو أبعد من عمليات الاختراق التقليدية ليشملوا العمليات السحابية وعمليات التركيز على الهوية، مما يضعهم في موقع يسمح لهم بالتحرك بسرعة عبر بيئات المؤسسات الهجينة مع زيادة النطاق والتأثير.
بالنشر، أنت توافق على سياسة التعليقات.