كشفت شركة Proofpoint للأمن السيبراني عن حملة تجسس إلكتروني جديدة نفّذتها جهة تهديد غير معروفة سابقًا أُطلق عليها الاسم الرمزي “UNK_SmudgedSerpent”، استهدفت أكاديميين وخبراء في السياسة الخارجية الأمريكية بين يونيو وأغسطس 2025، في فترةٍ تزامنت مع احتدام التوترات الجيوسياسية بين إيران وإسرائيل.
وقالت الباحثة الأمنية ساهر نعمان في تقريرٍ حديث، إن المجموعة استغلت موضوعات سياسية حساسة مرتبطة بـ”التحولات المجتمعية في إيران والتحقيقات حول عسكرة الحرس الثوري الإيراني (IRGC)” لخداع الضحايا واستدراجهم.
تكتيكات مستوحاة من مجموعات تجسس إيرانية معروفة
أوضحت Proofpoint أن أساليب “SmudgedSerpent” تشبه من حيث البنية والتكتيك حملاتٍ سابقة نفذتها مجموعات تجسس إيرانية مثل TA455 (المعروفة باسم Smoke Sandstorm)، وTA453 (Charming Kitten)، وTA450 (MuddyWater).
فقد استخدم المهاجمون أسلوب التواصل التمهيدي الهادئ الذي تُعرف به مجموعة Charming Kitten، عبر إرسال رسائل بريد إلكتروني ودّية في البداية لإقامة علاقة ثقة، قبل محاولة سرقة بيانات اعتماد الحسابات الإلكترونية.
في بعض الحالات، احتوت الرسائل على روابط خبيثة تؤدي إلى تنزيل ملف MSI يبدو وكأنه تطبيق Microsoft Teams، لكنه في الحقيقة يقوم بتثبيت برنامج إدارة عن بُعد مشروع مثل PDQ Connect — وهي حيلة تُستخدم عادة من قبل مجموعة MuddyWater للتسلل إلى الأنظمة.
انتحال هوية شخصيات سياسية بارزة
بحسب التقرير، لجأ المهاجمون إلى انتحال هويات شخصيات أمريكية مرموقة في مراكز بحثية مثل مؤسسة بروكينغز ومعهد واشنطن لسياسات الشرق الأدنى، لإضفاء مصداقية على المراسلات وزيادة فرص النجاح في الاختراق.
واستهدفت الحملة أكثر من 20 خبيرًا في مؤسسة بحثية أمريكية تُعنى بالشأن الإيراني، حيث ورد في إحدى الرسائل:
“أتواصل معكم للتحقق مما إذا كان البريد الإلكتروني الأخير الذي أعرب عن اهتمامه بمشروعنا البحثي قد أُرسل من طرفكم بالفعل، إذ يبدو العنوان المستخدم غير مألوف.”
وبعد ردّ الضحية، أرسل المهاجمون رابطًا إلى “مستندات مزعومة” لمناقشتها في اجتماعٍ قادم، لكن الرابط قاد إلى صفحة تسجيل دخول مزيفة مصممة لسرقة بيانات اعتماد حسابات Microsoft.
مواقع وهمية وانتحال صفحات OnlyOffice
في نمطٍ آخر من الهجوم، قاد الرابط إلى صفحة مزيّفة تحاكي Microsoft Teams تحتوي على زر “انضم الآن”، لكن Proofpoint لم تتمكن من تحديد المراحل التالية بعد النقر على الزر.
وعندما أبدى أحد المستهدفين شكوكًا، قام المهاجمون بإزالة مطلب كلمة المرور من الصفحة المزيفة وتحويله مباشرة إلى موقع OnlyOffice مزيّف مُستضاف على نطاق يحمل طابعًا صحيًا: thebesthomehealth[.]com.
وأشارت Proofpoint إلى أن استخدام النطاقات الصحية والمراجع الخاصة بـ OnlyOffice يعكس نمطًا مشابهًا لمجموعة TA455 التي بدأت في تسجيل نطاقات ذات طابع صحي منذ أكتوبر 2024، بعد أن كانت تركّز على مجالات الطيران والفضاء.
أدوات مراقبة خفية ونشاط مباشر على الأنظمة
استضاف الموقع المزيف ملفًا مضغوطًا (ZIP) يحتوي على مُثبّت MSI يقوم بتشغيل PDQ Connect، فيما وُجدت ملفات أخرى تمثل مستندات تمويهية لتضليل الضحية.
كما رُصدت أدلة على أن المهاجمين نفذوا نشاطًا مباشرًا داخل الأنظمة (“hands-on-keyboard”) لتثبيت أدوات إضافية مثل ISL Online، دون أن يتضح سبب استخدام برنامجَي إدارة مختلفين بالتتابع.
أهداف الحملة ودلالاتها الاستخبارية
أرسلت المجموعة أيضًا رسائل تصيّدية موجهة إلى أكاديميين أمريكيين، تطلب تعاونهم في دراسات عن الحرس الثوري الإيراني أو تأثير التوسع الإيراني في أمريكا اللاتينية على السياسة الأمريكية.
وأوضحت Proofpoint أن هذه الحملات تتماشى مع الأهداف الاستخبارية الإيرانية في جمع المعلومات حول التحليلات السياسية الغربية والبحث الأكاديمي والتقنيات الاستراتيجية، معتبرةً العملية “دليلًا على تنامي التنسيق بين الكيانات الاستخبارية الإيرانية ووحداتها السيبرانية”، في مؤشرٍ على تحوّلٍ نوعي في منظومة التجسس الإلكتروني الإيرانية.
