يشهد المشهد الإيراني للتهديدات الإلكترونية تطوراً مهماً ومثيراً للقلق. لسنوات، تتبع محللو الأمن السيبراني مجموعات التهديد المستمر المتقدم (APT) الإيرانية المدعومة من الدولة، والتي تبنت بدقة شبه مجموعات مستقلة من مجرمي الإنترنت لتوفير إنكار معقول لعمليات التجسس والتخريب الخاصة بها. هذه التكتيكات في التنكر الآن تفسح المجال لنموذج أكثر مباشرة وفعالية: التعاون النشط. تشير أحدث التقارير الاستخباراتية إلى أن وزارة الاستخبارات والأمن الإيرانية (MOIS) تنسق بشكل متزايد مع منظمات الجريمة الإلكترونية الحقيقية، مما يخلق نظاماً بيئياً تهديدياً هجيناً يدمج موارد الدولة مع مرونة المجرمين والدافع الربحي. يمثل هذا التقارب تحولاً استراتيجياً، يمكن طهران من تضخيم قدراتها الإلكترونية، وتقاسم الأعباء التشغيلية، وإضفاء المزيد من الغموض على أصول هجماتها.
يتجلى هذا التعاون في عدة مجالات تشغيلية. تشتهر المجموعات الإيرانية المتقدمة المستمرة، مثل تلك التي يتم تتبعها تحت مسمى "تشارمينج كيتن" (APT35) و"مودي ووتر"، بمهام التجسس وجمع المعلومات. من خلال الشراكة مع مجموعات إجرامية متخصصة في برامج الفدية وسرقة البيانات، يمكنها الاستفادة من الوصول المسبق إلى شبكات الضحايا. قد يقوم شريك إجرامي بنشر برنامج فدية لتحقيق مكاسب مالية، بينما يقوم في نفس الوقت بسرقة بيانات ذات أهمية استراتيجية لتمريرها إلى الراعي الحكومي. يسمح هذا تقسيم العمل للجهات الفاعلة الحكومية بتحقيق أهداف استخباراتية دون التعامل المباشر مع الحمولات الضارة الأكثر وضوحاً، بينما يحصل الشركاء المجرمون على أدوات أكثر تطوراً ويتمتعون بدرجة من الحماية. التبادل تكافلي، مما يعزز فعالية ووصول الطرفين.
الآثار المترتبة على الأمن السيبراني العالمي عميقة. تخفض هذه الصلة بين الدولة والمجرمين الحاجز أمام إيران لإطلاق هجمات أكثر تدميراً وانتشاراً. وهي تعقد عملية نسب التهديد التقليدية، حيث قد تشير الأدلة الجنائية إلى بنية تحتية إجرامية بينما تتوافق الأهداف الاستراتيجية الأساسية مع مصالح الدولة. بالنسبة للمدافعين، هذا يعني أن الحادثة التي تظهر في البداية على أنها هجوم بفدية بدافع مالي، يمكن أن تكون في الواقع غطاءً لحملة تجسس أعمق تتماشى مع الدولة. يجب على المؤسسات الآن النظر في نموذج تهديد مزدوج عند التحقيق في الخروقات، والبحث عن علامات الابتزاز المالي الفوري وجمع البيانات السرية التي تستهدف الملكية الفكرية، أو الاستخبارات الجيوسياسية، أو مخططات البنية التحتية الحرجة.
لمواجهة هذا التهديد المتطور، فإن استراتيجية دفاع متعددة الجوانب ضرورية. يجب على مجتمع الأمن السيبراني تعزيز تبادل المعلومات الاستخباراتية لرسم خريطة للعلاقات المتطورة بين مجموعات APT الإيرانية المعروفة والشركاء الإجراميين. يجب أن يتخذ مدافعو الشبكة وضعية يقظة متزايدة، بتنفيذ تجزئة قوية للحد من الحركة الجانبية، وإنفاذ ضوابط وصول صارمة، ونشر كشف متقدم عن التهديدات يبحث عن أنماط سلوكية تتجاوز البرامج الضارة القائمة على التوقيع. علاوة على ذلك، يجب تطبيق ضغط دبلوماسي واقتصادي دولي لتعطيل القنوات المالية والتشغيلية التي تسهل هذه الشراكات. إن فهم أن وزارة الاستخبارات الإيرانية لم تعد تنتحل صفة المجرمين فحسب، بل هي تمكّنهم بنشاط، أمر بالغ الأهمية لوضع استراتيجيات فعالة للصمود السيبراني الوطني والمؤسسي في مشهد تهديدات يزداد ضبابية.
