Netcrook Logo
👤 AGONY
🗓️ 20 Apr 2026   🌍 Middle-East

لعبة الظلال: كيف تُدير وزارة الاستخبارات والأمن الإيرانية (MOIS) حديقة سيبرانية عالمية

وكالة استخبارات إيرانية واحدة تدير حملة سيبرانية عالمية، متخفية وراء عدة شخصيات قرصنة لإرباك الأهداف وتعطيلها وترهيبها من ألبانيا إلى إسرائيل وما وراء ذلك.

في العالم المعتم للحرب السيبرانية، قد تكون المظاهر خادعة. فما يبدو كصدام فوضوي بين مجموعات هاكتيفيست متنافسة هو، في الحقيقة، حملة منسقة بدقة تُدار بتوجيه من وزارة الاستخبارات والأمن الإيرانية (MOIS). خلف رايات «عدالة الوطن» و«كارما» و«حنظلة» يختبئ فريق واحد، يبدّل الأقنعة بسلاسة لشن حرب نفسية وتقنية على مسرح عالمي.

ظهر أول إنذار كبير في عام 2022، حين أعلنت «عدالة الوطن» بصخب مسؤوليتها عن شلّ حكومة ألبانيا. للوهلة الأولى بدا الأمر كحيلة هاكتيفيست مارقة. لكن التحليل الجنائي كشف واقعًا أكثر إثارة للقلق: فقد أمضى مشغلو MOIS أكثر من عام يتربصون داخل الشبكات الألبانية، مستغلين نظام Microsoft SharePoint ضعيفًا، وسارقين رسائل البريد الإلكتروني، وممهّدين الطريق لأقصى قدر من الفوضى عبر ماسحات مخصصة وهجمات على نمط برامج الفدية. أما الفصل الأخير - إعلان علني وتسريب بيانات - فلم يكن سوى قمة جبل الجليد.

لم يتغير دليل التشغيل، بل الأقنعة فقط. عندما اندلعت حرب إسرائيل-حماس في أواخر 2023، التقطت شخصية «كارما» الشعلة، مستهدفة منظمات إسرائيلية بترسانة شبه مطابقة: قواقع ويب، وأدوات حصاد بيانات الاعتماد، وأدوات تدميرية مثل BiBi Wiper سيئ الصيت. وبحلول 2024، أصبحت «حنظلة» الوجه الجديد للعملية، متنقلة بين نطاقات متشابهة وقنوات تيليغرام لتسريب البيانات المسروقة وإشعال التوتر السياسي.

ما يوحّد هذه المجموعات التي تبدو متباعدة هو مجموعة أدوات وبنية تحتية مشتركة. فقد تتبع الباحثون الخوادم نفسها، وقنوات القيادة والسيطرة نفسها، وحتى مقتطفات من الشيفرة عبر الشخصيات الثلاث جميعًا. وصادرت وكالات أمريكية مؤخرًا نطاقات مثل Justicehomeland[.]org وHandala‑Hack[.]to، مؤكدة أن هذه لم تكن مواقع هاكتيفيست قاعدية، بل مراكز محورية لعمليات نفسية إيرانية - بل وأحيانًا تحرّض على العنف ضد صحفيين ومعارضين.

إن تطور أساليب MOIS يتسارع. ففي مارس 2026، اختطفت شخصية حنظلة حساب مسؤول Microsoft Intune في شركة كبرى لتكنولوجيا الأجهزة الطبية، مستخدمة ميزة مسح عن بُعد شرعية لإعادة ضبط ما يصل إلى 200,000 جهاز عبر 79 دولة. وقبل الإعلان على تيليغرام، سحب المهاجمون عشرات التيرابايت من البيانات الحساسة - مزيجًا مدمرًا من التجسس والتخريب والترهيب.

يحذر محللون من أن التعامل مع «عدالة الوطن» و«كارما» و«حنظلة» كتهديدات منفصلة هو خطأ فادح. فالأدلة تشير إلى آلة تأثير واحدة موجّهة من الدولة - قادرة على التحول من التجسس إلى التسريبات العلنية، ومن برامج الفدية إلى مسح جماعي للأجهزة، بينما تُموّه أصلها الحقيقي خلف دوّامة من الهويات الإلكترونية. وبالنسبة للمدافعين، فإن العلامات الدالة واضحة: بنية تحتية متشابهة، وشيفرة مشتركة، ودورة لا تهدأ من عمليات الاختراق والتسريب، كلها تُدار من قلب الاستخبارات الإيرانية.

ومع ازدياد تعقيد ساحة المعركة الرقمية، يصبح الدرس صارخًا: في الصراع السيبراني، يسهل ارتداء الأقنعة وخلعها، لكن اليد التي تقف خلفها غالبًا ما تكون واحدة. إن فهم الوحدة الكامنة وراء الفوضى هو الخطوة الأولى نحو دفاع حقيقي.

WIKICROOK

  • الشخصية: الشخصية هي هوية إلكترونية مزيفة تُصاغ لخداع الآخرين، وغالبًا ما تُستخدم في الهجمات السيبرانية أو اختبارات الأمن للتلاعب بالأهداف أو جمع المعلومات.
  • الأمر: الأمر هو تعليمات تُرسل إلى جهاز أو برنامج، غالبًا عبر خادم قيادة وسيطرة (C2)، لتوجيهه لتنفيذ إجراءات محددة، أحيانًا لأغراض خبيثة.
  • قوقعة ويب: قوقعة الويب برنامج خفي يرفعه القراصنة إلى موقع مخترق، يمنحهم تحكمًا عن بُعد ووصولًا غير مصرح به كأنه باب خلفي سري.
  • الماسح: الماسح برمجية خبيثة تحذف البيانات أو تُفسدها لإحداث ضرر أو لإخفاء الآثار، ما يجعل الاستعادة صعبة أو مستحيلة.
  • الاعتماد على أدوات النظام: يعني «الاعتماد على أدوات النظام» أن المهاجمين يستخدمون أدوات النظام الموثوقة والمضمنة لأغراض خبيثة، ما يجعل أنشطتهم أصعب كشفًا.
Iran Cyber Warfare MOIS
AGONY AGONY
Elite Offensive Security Commander
← Back to news