التصيّد من أجل إسكات المعارضة: داخل الهجوم السيبراني المرتبط بـ«بيتر» على صحفيي الشرق الأوسط وشمال أفريقيا

حملة اختراق مأجورة متطورة، يُحتمل ارتباطها بمصالح هندية، تستهدف الصحفيين والناشطين في أنحاء الشرق الأوسط وشمال أفريقيا بهجمات تصيّد لا هوادة فيها.

عندما تلقّى مصطفى الأعصر، الصحفي المصري المعروف والناقد لحكومته، رسالة على لينكدإن بشأن فرصة عمل جديدة، لم يكن يدري أنها كانت الخطوة الافتتاحية في حملة تجسّس سيبراني عالية المخاطر. الرسالة، التي بدت بريئة للوهلة الأولى، قادته سريعًا إلى سلسلة من الفخاخ الرقمية، بما في ذلك صفحات تسجيل دخول مزيفة وروابط زوم خبيثة - ضمن عملية اختراق مأجورة واسعة تستهدف أكثر أصوات المجتمع المدني صراحةً في منطقة الشرق الأوسط وشمال أفريقيا.

حقائق سريعة

أهداف الحملة: صحفيون وناشطون ومسؤولون في مصر ولبنان والبحرين والإمارات والسعودية، وربما المملكة المتحدة والولايات المتحدة.
نواقل الهجوم: تصيّد موجّه عبر صفحات تسجيل دخول مزيفة لآبل وغوغل وتلغرام وسيغنال؛ وهندسة اجتماعية مستمرة على لينكدإن وواتساب وiMessage.
الجهة المشتبه بها: مجموعة اختراق مأجورة مرتبطة بـ«Bitter»، مع صلات مزعومة بمصالح استخباراتية هندية.
البرمجيات الخبيثة المستخدمة: ProSpy وDracarys، القادرتان على تهريب جهات الاتصال والرسائل والملفات وبيانات الجهاز.
الأثر: تم اختراق حساب آبل لصحفي واحد على الأقل، ما منح المهاجمين وصولًا مستمرًا إلى بيانات حساسة.

كشفت تحقيقات أجرتها Access Now وLookout وSMEX طبقات هذه العملية، لتُظهر حملة تمزج بين الحنكة التقنية والهندسة الاجتماعية المتواصلة. الهجمات، النشطة منذ 2023 وحتى منتصف 2025 على الأقل، تستخدم مزيجًا من بوابات تسجيل دخول مزيفة وشاشات موافقة OAuth لحصاد بيانات الاعتماد وتجاوز المصادقة الثنائية. واللافت أن القراصنة ينتحلون علامات موثوقة مثل آبل وغوغل، ويرسلون الضحايا إلى نطاقات مثل “signin-apple.com-en-uk[.]co” و“en-account.info”.

بدأ أحد الهجمات برسالة على لينكدإن من شخصية مفبركة تُدعى “Haifa Kareem”، استدرجت الأعصر بعرض عمل قبل أن ترسل له رابط زوم خبيثًا. كان الرابط مُموّهًا بذكاء ومختصرًا، وأطلق هجوم تصيّد عبر Google OAuth - مخادعًا الهدف لمنح أذونات للتطبيق يمكنها تمرير البيانات الخاصة بصمت إلى المهاجمين. وفي واقعة أخرى، تلقّى صحفي لبناني محاولات تصيّد عبر رسائل آبل وواتساب، نجحت إحداها في اختراق حسابه على آبل والسماح بإضافة جهاز افتراضي للمراقبة المستمرة.

ما يجعل هذه الحملة مقلقًا على نحو خاص هو تداخلها مع بنية تحتية استُخدمت في هجمات سابقة ببرمجيات تجسس في الإمارات. فقد ارتبطت نطاقات مثل “com-ae[.]net” ببرمجيات تجسس على أندرويد مثل ProSpy وDracarys، وكلتاهما قادرتان على سحب جهات الاتصال والرسائل النصية والملفات. ورغم عدم تأكيد وجود برمجيات تجسس على أجهزة الصحفيين في هذه الموجة، فإن البنية التحتية مهيّأة لمثل هذه الحمولة، ما يشير إلى جهد مراقبة إقليمي أوسع.

تشير دلائل الإسناد إلى عنقود التهديد Bitter - وهي مجموعة معروفة بعمليات التجسس لخدمة مصالح الحكومة الهندية - غير أن هذه هي المرة الأولى التي تُرى فيها بنية تحتية مرتبطة بـBitter تستهدف المجتمع المدني بدلًا من الجهات الحكومية. وما إذا كان ذلك يشير إلى اتجاه جديد لـBitter أو إلى صعود مجموعة اختراق مأجورة موازية ومرتبطة بها، فلا يزال غير واضح. المؤكد أن الحدود بين تجسس الدول والجريمة السيبرانية المرتزقة تتلاشى، تاركة الصحفيين والناشطين في مرمى النيران.

ومع اتساع ساحة المعركة الرقمية، يتزايد الخطر على من يجرؤون على رفع الصوت. إن الحملة المرتبطة بـBitter تذكير صارخ: في عالم اليوم، لا تُخاض معركة الحقيقة والشفافية في الساحة العامة فحسب، بل أيضًا في الزوايا المعتمة للفضاء السيبراني - حيث يمكن لنقرة واحدة أن تفتح الباب للمراقبة والإسكات.

WIKICROOK

Spear: التصيّد بالرمح هو هجوم سيبراني موجّه يستخدم رسائل بريد إلكتروني مُخصّصة لخداع أفراد أو مؤسسات بعينها للكشف عن معلومات حساسة.
OAuth: OAuth هو بروتوكول يتيح للمستخدمين منح التطبيقات وصولًا إلى حساباتهم دون مشاركة كلمات المرور، ما يعزز الأمان لكنه ينطوي أيضًا على بعض المخاطر.
Malware: البرمجيات الخبيثة هي برامج ضارة صُممت للتسلل إلى الأجهزة الحاسوبية أو إتلافها أو سرقة البيانات منها دون موافقة المستخدم.
Social engineering: الهندسة الاجتماعية هي استخدام الخداع من قبل القراصنة لاستدراج الناس إلى كشف معلومات سرية أو توفير وصول غير مصرح به إلى الأنظمة.
Command and Control (C2): القيادة والتحكم (C2) هو النظام الذي يستخدمه القراصنة للتحكم عن بُعد في الأجهزة المصابة وتنسيق الهجمات السيبرانية الخبيثة.