العنوان: حرب صامتة خلف الشاشات… قراصنة مرتبطون بحماس يوسّعون هجماتهم “السيبرانية” ليطالوا المغرب ودولا عربية

كشف تقرير أمني حديث صادر عن الوحدة الثانية والأربعين التابعة لشركة الأمن السيبراني الأمريكية العملاقة “بالو ألتو نتووركس” عن تصاعد لافت في نشاط مجموعة قرصنة إلكترونية تُعرف باسم “Ashen Lepus”، يُشتبه في ارتباطها بحركة المقاومة الإسلامية (حماس)، بعدما وسّعت دائرة هجماتها لتشمل مؤسسات حكومية وبعثات دبلوماسية في عدد من دول الشرق الأوسط، من بينها المغرب ومصر والأردن.

وحسب التحليل ذاته، فإن هذه المجموعة لم تكتفِ بحملات قصيرة أو ظرفية، بل قادت عمليات اختراق طويلة الأمد، حافظت خلالها على وتيرة عالية من النشاط، حتى بعد إعلان وقف إطلاق النار في غزة خلال أكتوبر الماضي. بل إن المعطيات التقنية تشير إلى أن القراصنة استغلوا المرحلة اللاحقة لتوسيع خارطة الأهداف، لتشمل جهات تابعة للسلطة الفلسطينية، إضافة إلى مؤسسات رسمية في مصر والأردن وسلطنة عُمان والمملكة المغربية.

وأوضح التقرير أن “Ashen Lepus” قطعت أشواطا متقدمة في تطوير أدواتها الهجومية، حيث قامت بابتكار برمجية خبيثة جديدة تحمل اسم “AshTag”، إلى جانب تحديث شامل لبنية التحكم والسيطرة (C2)، بما يسمح لها بالإفلات من أنظمة الرصد والتحليل، والاندماج بسلاسة داخل حركة الإنترنت العادية دون إثارة الشبهات.

وأبرز المصدر أن الحملة الأخيرة للمجموعة تعكس نقلة نوعية في مستوى الأمان العملياتي، وفي طبيعة التكتيكات والتقنيات المعتمدة. فبعد أن كانت عملياتها، على مدى سنوات، توصف بمتوسطة التعقيد، اتجهت مؤخرا إلى أساليب أكثر تطورا، من بينها تشفير محسن للحمولات الخبيثة، وتمويه البنية التحتية الرقمية عبر استغلال نطاقات فرعية تابعة لمواقع وخدمات شرعية.

وأشار تقرير الوحدة الثانية والأربعين إلى أن “Ashen Lepus” عُرفت في بداياتها باستهداف محيطها الجغرافي المباشر، خاصة السلطة الفلسطينية ومصر والأردن، غير أن الهجمات الأخيرة أظهرت تحولا استراتيجيا واضحا نحو توسيع مجال العمليات ليشمل دولا عربية أخرى. ورغم هذا الامتداد الجغرافي، ظلت مواضيع الطُعم التي تستخدمها المجموعة متسقة، ومرتبطة أساسا بالقضايا الجيوسياسية في الشرق الأوسط، وعلى رأسها ملف الأراضي الفلسطينية.

ومن الناحية التقنية، كشف التحليل أن المجموعة تعتمد، منذ سنة 2020 على الأقل، سلسلة إصابة متعددة المراحل، تبدأ غالبا بملف PDF خادع يبدو بريئا، قبل أن يُحال الضحية إلى منصة لمشاركة الملفات من أجل تنزيل أرشيف مضغوط من نوع RAR، يحتوي على الحمولة الخبيثة. وبمجرد فتح الأرشيف، تنطلق سلسلة معقدة من العمليات التي تؤدي إلى اختراق الجهاز المستهدف.

وأوضح التقرير أن هذه السلسلة تضم عادة ثلاثة ملفات رئيسية: ملف ثنائي يتخفى في شكل وثيقة سياسية أو حساسة، ومحمل خبيث يعمل في الخفاء، إضافة إلى ملف PDF إضافي يحمل اسما عاما مثل “Document.pdf” لإبعاد الشكوك. وعند فتح الملف الثنائي، يتم تحميل أول محمل خبيث في الخلفية، قبل عرض ملف الـPDF الخداعي للضحية لإيهامه بأن الأمر لا يعدو كونه قراءة عادية لوثيقة.

كما لفتت الشركة الأمريكية إلى أن المجموعة غيّرت بشكل ملحوظ طريقة استضافة خوادم التحكم والسيطرة، إذ لم تعد تعتمد على نطاقات خاصة بها، بل أصبحت تسجل نطاقات فرعية مرتبطة بخدمات واجهات برمجة التطبيقات (API) وأنظمة المصادقة داخل نطاقات موثوقة، ما يصعّب عملية اكتشافها وتعطيلها.

وخلص التقرير إلى أن “Ashen Lepus” تظل فاعلا نشطا ومستمرا في مجال التجسس الإلكتروني، مع نية واضحة لمواصلة عملياتها خلال فترات التوتر والنزاعات الإقليمية، خلافا لمجموعات تهديد أخرى غالبا ما تقلص نشاطها في مثل هذه الظروف. وأكدت الشركة أن التطور المستمر في أساليب المجموعة، من تشفير متقدم، واستغلال لنطاقات مشروعة، وتنفيذ الحمولة في الذاكرة، يفرض على المؤسسات المستهدفة، خصوصا الحكومية والدبلوماسية، رفع مستوى اليقظة وتعزيز دفاعاتها السيبرانية أمام هذا التهديد المتصاعد.