كشف باحثو أمنيون من سيمانتيك التابعة لبرودكوم وفريق كاربون بلاك عن حملة إلكترونية نفذتها مجموعة القرصنة الإيرانية المدعومة من الدولة والمعروفة باسم "مودي ووتر" أو "سيد وورم". تمكنت المجموعة من التسلل والتموضع داخل شبكات عدة مؤسسات أمريكية، تشمل بنكاً ومطاراً ومنظمة غير ربحية، بالإضافة إلى الفرع الإسرائيلي لشركة برمجيات. يُقيم أن هذه الأنشطة بدأت في فبراير الماضي، مع اكتشاف عمليات اختراق حديثة عقب الضربات العسكرية الأمريكية والإسرائيلية على إيران. شركة البرمجيات المستهدفة هي مورد لقطاعي الدفاع والفضاء، حيث يبدو أن عملياتها الإسرائيلية كانت محط تركيز رئيسي.
الهجمات التي استهدفت شركة البرمجيات والبنك الأمريكي والمنظمة الكندية غير الربحية صُممت لنشر برنامج خلفي غير موثق سابقاً يُدعى "ديندور". يستغل هذا البرنامج الضار بيئة تشغيل جافا سكريبت "دينو" لتنفيذ عملياته. كما حددت برودكوم محاولة لسرقة بيانات من شركة البرمجيات باستخدام أداة "آركلون" لنقل المعلومات إلى حزمة تخزين سحابي في "واسابي"، لكن مدى نجاح سرقة البيانات هذه لا يزال غير معروف.
بشكل منفصل، داخل شبكات المطار الأمريكي والمنظمة غير الربحية، اكتشف الباحثون برنامجاً خلفياً يعتمد على لغة بايثون يُسمى "فيكسيت". تم تنزيل هذه الأداة من خوادم تابعة لشركة التخزين السحابي "باكبليز". الجدير بالذكر أن الشهادة الرقمية المستخدمة لتوقيع برنامج "فيكسيت" قد استُخدمت أيضاً لتوقيع عائلات برمجيات ضارة أخرى مثل "ستيجكومب" و"دارككومب"، والتي ارتبطت سابقاً بعمليات مجموعة "مودي ووتر". هذه الشهادة المشتركة تشير بقوة إلى أن نفس الجهة الفاعلة التهديدية تقف وراء كل هذه الأنشطة.
تسلط النتائج الضوء على التقدم المتزايد في كفاعة الجهات الفاعلة الإيرانية المهددة. تُظهر حملاتها ليس فقط تطوراً في الأدوات والتكتيكات، ولكن أيضاً تركيزاً مستمراً على جمع المعلومات الاستخباراتية وخلق موطئ قدم داخل الشبكات، خاصة ضد الكيانات المرتبطة بالخصوم الجيوسياسيين. يوضح استخدام الخدمات السحابية المشروعة وبيئات التشغيل الشائعة مثل "دينو" و"بايثون" اتجاهاً نحو الاندماج مع حركة مرور الشبكة العادية لتجنب الكشف.
تُظهر هذه الحملة كيف تستغل المجموعات المدعومة من الدولة الأحداث الجيوسياسية كفرص للانتقام أو جمع المعلومات. يؤكد الاستهداف المستمر للكيانات المرتبطة بإسرائيل والولايات المتحدة على الطبيعة الاستخباراتية الاستباقية لهذه العمليات، مما يزيد من تعقيد مشهد التهديدات الإلكترونية العالمية ويتطلب يقظة مستمرة.
