هجوم برنامج الفدية "مادي ووتر" ذو العلم الزائف

تم ربط مجموعة التهديد "مادي ووتر" المدعومة من الدولة الإيرانية، والتي تُعرف أيضاً بأسماء مستعارة مثل "مانجو ساندستورم" و"سيدوورم" و"ستاتيك كيتن"، بحملة فدية متطورة وصفها المحققون بأنها عملية تضليل. ورغم أن الاختراق بدا في البداية مشابهاً لنشاط مرتبط بعملية فدية تقليدية (RaaS) باستخدام برنامج الفدية "كاوس"، إلا أن التحليل المعمق كشف عن خصائص تتوافق مع هجوم إلكتروني مُستهدف برعاية دولة، مُقنّع بابتزاز مالي.

اعتمدت العملية، التي تم رصدها في أوائل عام 2026، بشكل كبير على الهندسة الاجتماعية عبر برنامج مايكروسوفت تيمز. أجرى المهاجمون جلسات تفاعلية مكثفة مع الضحايا، مستغلين خاصية مشاركة الشاشة لجمع بيانات الاعتماد والتلاعب بعمليات المصادقة متعددة العوامل. بعد الحصول على الوصول، تخلى المهاجمون عن أساليب برامج الفدية التقليدية، مثل تشفير الملفات على نطاق واسع، وركزوا بدلاً من ذلك على سرقة البيانات، والتسلل الخفي، والوصول طويل الأمد إلى الشبكة من خلال أدوات الإدارة عن بُعد.

أساليب الجرائم الإلكترونية المستخدمة لإخفاء عمليات الدولة

يعتقد الباحثون أن هذه الحملة تعكس جهداً متعمداً من جانب مجموعة "مادي ووتر" لإخفاء هويتها من خلال تبني أدوات وتقنيات شائعة في بيئات الجريمة الإلكترونية. وقد كثفت المجموعة من دمج برامج خبيثة متاحة تجارياً وأطر عمل للوصول عن بُعد في عملياتها، بما في ذلك أدوات مثل "كاسل رات" و"تسوندر".

يتماشى هذا التكتيك مع حملات سابقة لمجموعة مادي ووتر، التي مزجت بين التجسس والأنشطة التخريبية وعمليات الفدية. ففي عام 2020، استهدفت المجموعة مؤسسات إسرائيلية كبرى باستخدام برنامج PowGoop لنشر نسخة تخريبية من برنامج الفدية Thanos. وفي عام 2023، ربطت مايكروسوفت المجموعة بـ DEV-1084، وهو فاعل مرتبط بشخصية DarkBit، خلال هجمات مُقنّعة على أنها هجمات فدية. وبحلول أواخر عام 2025، اشتبه أيضاً في استخدام جهات إيرانية لبرنامج الفدية Qilin ضد مستشفى حكومي إسرائيلي.

خلص باحثو الأمن إلى أن الحملة الأخيرة يُرجّح أنها شملت جهات تابعة لإيران تعمل عبر بنى تحتية إجرامية إلكترونية راسخة، في إطار سعيها لتحقيق أهداف جيوسياسية أوسع. وقد وفّر استخدام برنامج "كيلين" والمشاركة في منظومات برامج الفدية التابعة غطاءً عملياتياً، وإمكانية إنكار معقولة، والوصول إلى قدرات هجومية متطورة، مع مساعدة المهاجمين على التهرب من الرقابة الدفاعية الإسرائيلية المشددة.

فوضى كخدمة: نظام بيئي متنامٍ للابتزاز

ظهرت مجموعة "كاوس" في أوائل عام 2025 كعملية فدية إلكترونية تُعرف بأساليبها العدوانية في الابتزاز المزدوج. روّجت المجموعة لبرنامجها التابع على منتديات الجرائم الإلكترونية السرية مثل RAMP وRehubCom، وسرعان ما وسّعت نطاق عملياتها.

تجمع حملات التخريب عادةً بين إغراق البريد الإلكتروني، والتصيد الصوتي، وهجمات انتحال شخصية مستخدمي مايكروسوفت تيمز، حيث ينتحل المهاجمون صفة موظفي الدعم التقني. ويتم التلاعب بالضحايا لحملهم على تثبيت تطبيقات الوصول عن بُعد مثل مايكروسوفت كويك أسيست، مما يُمكّن المهاجمين من ترسيخ وجودهم داخل بيئات الشركات قبل رفع مستوى صلاحياتهم، والتنقل داخل النظام، ونشر برامج الفدية الخبيثة.

كما أظهرت المجموعة نماذج ابتزاز عدوانية متزايدة:

• الابتزاز المزدوج من خلال سرقة البيانات وطلبات الفدية
• الابتزاز الثلاثي الذي يتضمن التهديد بهجمات الحرمان من الخدمة الموزعة (DDoS)
• أساليب الابتزاز الرباعية التي تشمل التهديدات بالاتصال بالعملاء أو الشركاء أو المنافسين لتكثيف الضغط على الضحايا

بحلول مارس 2026، حصدت منظمة "كايوس" 36 ضحية على منصتها لتسريب البيانات، معظمهم من منظمات مقرها الولايات المتحدة. وبرزت قطاعات البناء والتصنيع وخدمات الأعمال من بين أكثر القطاعات استهدافاً.

تشريح التداخل

خلال عملية الاختراق التي تم التحقيق فيها، بدأ المهاجمون محادثات خارجية عبر مايكروسوفت تيمز مع الموظفين لكسب ثقتهم وتشجيعهم على مشاركة الشاشة. ثم استُغلت حسابات المستخدمين المخترقة لأغراض الاستطلاع، والبقاء في النظام، والتنقل الجانبي، وتسريب البيانات.

أثناء اتصالهم بأنظمة الضحايا، نفّذ المهاجمون أوامر استطلاع، ووصلوا إلى ملفات متعلقة بشبكة VPN، وأمروا المستخدمين بإدخال بيانات الاعتماد يدويًا في مستندات نصية محلية. وفي عدة حالات، تم تثبيت برنامج AnyDesk لتعزيز إمكانيات الوصول عن بُعد.

استخدم المهاجمون أيضًا بروتوكول سطح المكتب البعيد (RDP) لاسترداد ملف تنفيذي باسم "ms_upd.exe" من عنوان الخادم الخارجي 172.86.126.208 باستخدام أداة curl. وبمجرد تشغيله، بدأ البرنامج الخبيث سلسلة عدوى متعددة المراحل مصممة لنشر مكونات خبيثة إضافية وإنشاء اتصالات تحكم مستمرة.

ترسانة البرمجيات الخبيثة وراء الحملة

تضمنت سلسلة العدوى عدة مكونات برمجية خبيثة متميزة عملت معًا للحفاظ على استمراريتها وتنفيذ الأوامر عن بُعد:

• قام برنامج 'ms_upd.exe' (Stagecomp) بجمع معلومات النظام والاتصال بخادم التحكم والقيادة لتنزيل حمولات ثانوية تتضمن 'game.exe' و'WebView2Loader.dll' و'visualwincomp.txt'.

بمجرد تفعيلها، كانت برامج التجسس للوصول عن بعد تتواصل باستمرار مع خادم الأوامر الخاص بها كل 60 ثانية، مما يسمح للمشغلين بتنفيذ نصوص PowerShell البرمجية، وتشغيل أوامر النظام، ومعالجة الملفات، وإنشاء جلسات سطر أوامر تفاعلية.

أدلة تربط العملية بشركة مادي ووتر

تعززت الأدلة على انتماء برمجية MuddyWater الخبيثة من خلال اكتشاف شهادة توقيع رمزية مرتبطة باسم "دونالد جاي"، والتي استُخدمت لتوقيع عينة البرمجية الخبيثة "ms_upd.exe". وكانت هذه الشهادة نفسها قد رُبطت سابقًا ببرمجيات خبيثة أخرى تابعة لـ MuddyWater، بما في ذلك نسخة معدلة من برنامج التنزيل CastleLoader تُعرف باسم Fakeset.

لاحظ الباحثون أن العملية أظهرت تقاربًا كبيرًا بين أنشطة التجسس التي ترعاها الدول وأساليب المجرمين الإلكترونيين. وقد أدى دمج علامات برامج الفدية، ومفاوضات الابتزاز، وأطر البرامج الخبيثة المتاحة تجاريًا إلى تعقيد جهود تحديد مصدر الهجوم، وحوّل الانتباه الدفاعي نحو أنشطة الاستجابة الفورية للفدية بدلًا من آليات الاستمرارية طويلة الأمد التي يتم إنشاؤها من خلال أدوات الوصول عن بُعد.

لماذا كان الهجوم مميزاً؟

كان من أبرز جوانب الحملة غير المألوفة غياب تشفير الملفات على نطاق واسع، على الرغم من استخدام برمجيات الفدية الخبيثة "تشاوس". يشير هذا الانحراف عن السلوك المعتاد لبرمجيات الفدية الخبيثة بقوة إلى أن مكون الفدية كان بمثابة تمويه أو تضليل عملياتي في المقام الأول، وليس الهدف الأساسي للمهمة.

كما تسلط الحملة الضوء على اتجاه متزايد لدى الجهات الفاعلة الإيرانية في مجال التهديدات الإلكترونية نحو دمج أدوات الجرائم الإلكترونية في العمليات التي توجهها الدولة. فمن خلال الاستفادة من البنى التحتية السرية القائمة وأنظمة البرمجيات الخبيثة، تكتسب مجموعات مثل "مادي ووتر" مرونة تشغيلية أكبر، وتقلل تكاليف التطوير الداخلية، وتزيد بشكل كبير من تعقيد جهود تحديد مصدر الهجمات بالنسبة للمدافعين ومحللي الاستخبارات على حد سواء.