كشف تقرير جديد عن حملة هجمات سيبرانية إيرانية تستهدف قطاعي الطيران والبرمجيات باستخدام برمجيات خبيثة متطورة تعتمد على الذكاء الاصطناعي لسرقة البيانات.
وفقاً لمتابعة تيكبامين، تم رصد نشاط مكثف لمجموعة التهديد المعروفة باسم "نيمبوس مانتيكور" (Nimbus Manticore)، والتي ترتبط بجهات حكومية. استهدفت هذه الحملة منظمات حيوية في الولايات المتحدة وأوروبا والشرق الأوسط، لا سيما في أعقاب التوترات العسكرية الأخيرة في المنطقة خلال شهر فبراير 2026.
من هي مجموعة Nimbus Manticore وما هي أهدافها؟
تُعرف هذه المجموعة بنشاطها في استهداف قطاعات الدفاع والاتصالات والطيران. وتعتمد في استراتيجيتها على تقنيات التصيد الاحتيالي التي تستخدم عروض عمل وهمية لجذب الموظفين، وهي استراتيجية تشبه إلى حد كبير العمليات التي تنفذها مجموعات اختراق دولية أخرى.
شهدت العمليات الأخيرة تحولاً ملحوظاً في التكتيكات، حيث بدأت المجموعة في استخدام تقنيات متقدمة لتوصيل البرمجيات الخبيثة، بما في ذلك:
- استخدام برمجية MiniJunk عبر اختراق نطاقات التطبيقات.
- نشر برمجية خلفية جديدة تُدعى MiniFast.
- الاعتماد على "تسمم محركات البحث" (SEO Poisoning) لنشر نسخ مفخخة من البرمجيات الشهيرة.
كيف يتم استخدام الذكاء الاصطناعي في تطوير البرمجيات الخبيثة؟
أشار خبراء الأمن الرقمي إلى أن البرمجية الجديدة MiniFast تبدو وكأنها طُورت بمساعدة تقنيات الذكاء الاصطناعي. هذا الاستنتاج جاء بناءً على عدة ملاحظات تقنية دقيقة رصدها المحللون في هيكلية الكود البرمجي.
خصائص البرمجيات المطورة بالذكاء الاصطناعي:
- منطق برمجي دفاعي ومعالجة مفرطة للأخطاء بشكل غير معتاد.
- أنماط تسمية متكررة وواصفة جداً للوظائف والأساليب البرمجية.
- رسائل حالة وتصحيح أخطاء مفصلة للغاية رغم بساطة البرمجية الإجمالية.
- تنظيم كودي معياري (Modular) يتسم بالدقة والترتيب العالي.
ما هي أساليب الخداع المستخدمة في الهجمات السيبرانية؟
تنوعت أساليب المجموعة في الإيقاع بالضحايا، حيث استهدفت موظفين في المملكة العربية السعودية وأستراليا عبر عروض وظيفية وهمية. يتم إغراء الضحية بتحميل ملف مضغوط يحتوي على ملف تنفيذي يبدو آمناً، ولكنه يقوم في الواقع بتشغيل برمجية MiniJunk الخبيثة خلف الكواليس.
كما رصد تقرير تيكبامين استخدام المجموعة لنسخ مفخخة من برنامج الاجتماعات الشهير زووم (Zoom). يتم إرسال دعوات اجتماعات وهمية تطلب من المستخدم تثبيت تحديث أو برنامج معين، مما يؤدي في النهاية إلى زرع برمجية MiniFast في نظام الضحية.
كيف تحمي مؤسستك من مخاطر التسمم عبر محركات البحث؟
من أخطر التكتيكات المكتشفة مؤخراً هو إنشاء مواقع ويب مزيفة تنتحل صفة صفحات تحميل رسمية لبرامج شهيرة مثل أوراكل (Oracle SQL Developer). يتم رفع ترتيب هذه المواقع في نتائج البحث عبر تقنيات SEO مضللة، مما يخدع المستخدمين ويدفعهم لتحميل ملفات التثبيت الملغومة.
لحماية بياناتك من هذه الهجمات السيبرانية، يُنصح دائماً بالآتي:
- تحميل البرمجيات فقط من المواقع الرسمية والموثوقة.
- الحذر من رسائل البريد الإلكتروني التي تعرض فرص عمل غير متوقعة.
- تفعيل برامج الحماية المتقدمة التي تراقب سلوك التطبيقات المشبوهة.
- تدريب الموظفين على التعرف على أساليب التصيد المعقدة.
في الختام، تظهر هذه الحملة أن التهديدات الرقمية تتطور بسرعة مذهلة مع دخول أدوات الذكاء الاصطناعي في ترسانة القراصنة، مما يتطلب يقظة أمنية دائمة من قبل المؤسسات والأفراد على حد سواء.
