ثماني سنوات من الصمت: الكشف عن حملة ” BladedFeline ” للتجسس السيبراني الموالية لإيران ضد مسؤولين أكراد وعراقيين

ثماني سنوات من الصمت: الكشف عن حملة ” BladedFeline ” للتجسس السيبراني الموالية لإيران ضد مسؤولين أكراد وعراقيين

اعداد: تارا عزيز

على مدى ما يقرب من ثماني سنوات، كانت حملة تجسس سيبراني سرية متغلغلة بهدوء في قلب حكومة اقليم كردستان والحكومة المركزية في بغداد, وفي الخامس من حزيران 2025، كشفت شركة الأمن السيبراني ” ESET ” عن عملية ” BladedFeline” وهي جهة اختراق سيبراني موالية لإيران اخترقت الأنظمة الحكومية، وتتبعت تحركات مسؤولين رفيعي المستوى، واستخرجت بيانات حساسة دون أن يتم كشفها.

أكد التقرير ما كان يشتبه به كثير من المطلعين منذ وقت طويل, إن البنية التحتية الرقمية في كردستان ضعيفة وهشة للغاية, ومع ذلك، وعلى الرغم من حجم الاختراق وتبعاته السياسية، لم تقم أي وسيلة إعلام محلية بتغطيته, وفي منطقة تتسم بتوترات جيوسياسية مستمرة، فإن هذا الصمت لا يُعد مجرد إغفال، بل هو جزء من المشكلة.

من هي BladedFeline؟

BladedFeline هي جهة اختراق متقدمة (APT) يُعتقد أنها مرتبطة بإيران، ويرجح أنها إما فرع من مجموعة OilRig (المعروفة أيضاً باسم APT34) أو جهة مقربة منها, نشطت هذه المجموعة منذ سبتمبر 2017 على الأقل، عندما نجحت لأول مرة في التسلل إلى أنظمة حكومة إقليم كردستان (KRG),وتشير استمرارية وجودها واستراتيجيتها في اختيار الأهداف إلى مستوى عالٍ من الانضباط، والتخطيط، والمعرفة بالوضع الاقليمي.

نسب باحثين من ESET هذه الحملة إلى إيران بثقة متوسطة، بالاستناد إلى تشابهات في البرمجيات الخبيثة، وتداخل البنية التحتية، واستخدام أدوات مشتركة مع عمليات أخرى موثقة لـ OilRig, وتتسق هذه النسبة مع استراتيجية إيران الطويلة الأمد في تنفيذ عمليات سيبرانية تهدف إلى تعزيز النفوذ الإقليمي وجمع المعلومات الاستخبارية

الأهداف والغايات الاستراتيجية

شملت الأهداف الأساسية ل BladedFeline ما يلي:

• الكيانات الدبلوماسية والحكومية في إقليم كردستان
• أنظمة الحكومة الاتحادية العراقية

• شركة اتصالات في أوزبكستان

تعكس هذه الأهداف اهتمام استراتيجي واضح بالمؤسسات المحورية في المفاوضات السياسية، وقطاع النفط، والدبلوماسية الدولية, وتمكّن هذه الاختراقات إيران من مراقبة اتصالات المسؤولين الكرد، لا سيما تلك المتعلقة بالحلفاء الغربيين، ومن التعمق في المشهد السياسي الداخلي للعراق.

أدوات وتقنيات BladedFeline

تستخدم المجموعة مجموعة متنوعة وشديدة التخفي من الأدوات، العديد منها غير معروف مسبقا أو عبارة عن نسخ مطورة من برمجيات OilRig السابقة, من أبرزها:

1. Shahmaran: باب خلفي بسيط لكنه دائم، ظهر لأول مرة عام 2023، يتيح تنفيذ الأوامر وتحميل وتنزيل الملفات وتصفح المجلدات عن بعد.
2. Whisper: باب خلفي مكتوب بلغة C# يستهدف بريد Microsoft Exchange الإلكتروني, حيث يتواصل عبر مرفقات بريدية مصممة، ويحافظ على الاتصال من خلال جلسات مستخدمين شرعيين.
3. PrimeCache: أداة زرعت داخل خادم Microsoft IIS، مصممة لاعتراض حركة البيانات وتعديلها,تتشابه في السلوك والبرمجة مع الباب الخلفي RDAT المرتبط سابقاً ب OilRig.
4. Laret وPinar: أدوات إنشاء نفق عكسي تسمح باستخدام قنوات اتصال سرية، ما يضمن استمرارية الاتصال حتى في حال إزالة المؤشرات الظاهرة.
5. أدوات داعمة:
   • VideoSRV: أداة shell عكسي، نُسبت سابقاً إلى OilRig, بمعنى ان بدلاً من أن يتصل المهاجم بجهاز الضحية مباشرة، يقوم الجهاز المُخترق نفسه بالاتصال بخادم المهاجم ويفتح له نافذة (shell) لتنفيذ أوامر عن بُعد
   • Spearal وOptimizer: أدوات تعتمد على تمرير البيانات عبر نظام DNS (نظام أسماء النطاقات)
   • Slippery Snakelet: زرع برمجية خبيثة داخل جهاز او شبكة بهدف مراقبة البيانات, مبني على لغة برمجة Python.
   • Flog: يستخدم نظام webshell للحفاظ على الوصول الدائم, وهو برنامج ضار (سكريبت) يُرفع إلى خادم ويب، يسمح للمهاجم بتنفيذ أوامر عن بُعد وكأنه يتحكم بالسيرفر.

تؤكد هذه الأدوات على استراتيجية ترتكز على التخفي، والبقاء الطويل في الأنظمة، وتعدد طبقات الإخفاء, يتم تشفير الاتصالات، وتُخفى العديد من الأدوات ضمن خدمات شرعية، مما يصعب اكتشافها بشكل كبير.

السياق الجيوسياسي والجهة المسؤولة

تتوافق هذه الحملة مع الاستراتيجية السيبرانية الأوسع لإيران، التي تشمل مراقبة دول الجوار، وتنفيذ عمليات تأثير، والتجسس على جهات متحالفة مع الغرب, ويتماشى استهداف المسؤولين الأكراد والعراقيين مع مخاوف طهران المستمرة من الطموحات الكردية للاستقلال، والانخراط الدبلوماسي مع الغرب، والسيطرة على قطاع الطاقة.

وقد استندت نسبة الهجوم إلى OilRig إلى عدة مؤشرات تقنية، من بينها:

• تشابه الشيفرة البرمجية بين PrimeCache وRDAT, حيث ان في تحليل التهديدات السيبرانية، التشابه في الكود يُستخدم لتتبع العلاقات بين الأدوات والمهاجمين وربط الحملات ببعضها.
• استخدام أدوات مشتركة (مثل VideoSRV وأدوات DNS)
• طبيعة الضحايا, التي تتوافق مع حملات سابقة لـ OilRig

خلفية سياسية: لماذا استُهدفت كردستان؟

لفهم سبب استهداف المؤسسات الكردية، لا بد من التوقف عند التحولات الجيوسياسية في العقد الماضي.

فمنذ سقوط صدام حسين، تمتعت منطقة كردستان العراق بمستوى من الاستقلال السياسي والاقتصادي, صادراتها النفطية، وعلاقاتها المتنامية مع حكومات غربية، وسعيها نحو التحول الرقمي، جعلتها جهة فاعلة فريدة، تسير على حبل مشدود بين إيران وتركيا وبغداد وواشنطن.

وإيران، الحذرة من القومية الكردية والتأثير الغربي على حدودها، مارست الضغط بوسائل علنية وسرية, وتُعد الحرب السيبرانية أحد تلك الأساليب؛ إذ أن الأدوات الرقمية لا تترك آثاراً مرئية مثل الطائرات المسيرة أو الجماعات المسلحة، لكنها وسيلة هادئة وفعالة للغاية للتأثير.

ليست مجرد مشكلة تقنية

تتجاوز تداعيات عملية BladedFeline اختراق صناديق البريد الإلكتروني, فهي عملية تجسس على مستوى دبلوماسي، قد تكون أثّرت على المفاوضات، وكشفت الاتصالات الداخلية، ووجهت عملية اتخاذ القرار عبر وزارات كاملة.

كما أنها تسلط الضوء على فجوات خطيرة في الأمن السيبراني في المؤسسات العراقية والكردية. إذ تفتقر معظم الوزارات إلى أنظمة متطورة لاكتشاف التهديدات، وتكاد تخلو من بروتوكولات الاستجابة للحوادث السيبرانية، ونادراً ما يتم تدريب الموظفين على التعرف على التهديدات، مثل رسائل التصيد الإلكتروني أو محاولات تسجيل الدخول المشبوهة.

وما هو أكثر إثارة للقلق، هو غياب الحوار الوطني حول السيادة الرقمية. فمن يحمي خوادم دبلوماسيين اقليم كردستان؟ وكيف يتم التعامل قانونياً مع خروقات البيانات؟ وأين هو التشريع الذي يوفر الحماية؟