حذّر خبراء في الأمن السيبراني من حملة برمجيات خبيثة جديدة تستهدف معارضين إيرانيين ومتعاطفين مع الاحتجاجات داخل إيران وخارجها، في وقت تشهد فيه العلاقات بين واشنطن وطهران توترًا متصاعدًا.
وبحسب شركة أكرونيس، فإن الحملة، التي أُطلق عليها اسم “كريسنت هارفست” (حصاد الهلال)، تهدف إلى سرقة المعلومات وتنفيذ عمليات تجسس طويلة الأمد عبر وسائل خادعة تقوم على بناء الثقة قبل الاختراق.
وقالت أكرونيس إنها رصدت البرنامج الخبيث للمرة الأولى في أوائل يناير، بالتزامن مع اتساع رقعة المظاهرات داخل إيران.
وأوضح سوبهاجيت سينغا، الباحث الأمني البارز في الشركة، أن ما يميز الحملة هو “المنهجية والصبر” اللذان يعتمدهما المهاجمون، إذ يسعون إلى بناء علاقات ودية مع أشخاص خارج إيران يدعمون الاحتجاجات، قبل إرسال ملفات تبدو بريئة لكنها تحمل برمجيات خبيثة.
وأضاف سينغا أن الأسلوب المستخدم يشبه “المكافئ الرقمي لمحتال يبني علاقة ودية قبل إتمام الصفقة”، موضحًا أن الضحية يتلقى في نهاية المطاف حزمة تبدو كمواد احتجاجية، تضم صورًا ومقاطع فيديو ووثيقة مكتوبة بالفارسية تتناول تطورات في مدن إيرانية تشهد اضطرابات.
إلا أن هذه الملفات، وفق الشركة، تحتوي على أدوات خبيثة قادرة على جمع كلمات المرور ومنح المهاجمين وصولًا عن بُعد إلى الأجهزة المصابة.
وأشار سينغا إلى أن التخلص من البرمجيات الخبيثة ليس سهلًا، إذ قد يستعيد المهاجمون موطئ قدمهم بمجرد عودة الجهاز إلى الاتصال بالإنترنت، حتى لو حاول المستخدم عزل نظامه.
وأضاف أن الحملة تستغل عامل الثقة والتوقيت، خصوصًا لدى الصحفيين والناشطين والباحثين الذين يسعون للحصول على معلومات موثوقة عن الاحتجاجات.
وقالت أكرونيس إنها حدّدت “كريسنت هارفست” خلال عمليات بحث روتينية عن التهديدات تجريها فرقها البحثية. وأوضح إيلياد كيمحي، الباحث الرئيسي في الشركة، أن الهدف المرجّح هو إصابة أجهزة يستخدمها صحفيون وناشطون وسياسيون ومعارضون.
وأضاف أن الغاية الأساسية تبدو سرقة المعلومات والتجسس طويل الأمد، مشيرًا إلى أن مستوى التطور التقني المستخدم يجعل من الصعب على غير المختصين اكتشاف الهجوم أو منعه.
وحذّرت الشركة من أن بعض الملفات الخبيثة تكون متنكرة على هيئة صور أو مقاطع فيديو، وأن الرسائل تُرسل عبر البريد الإلكتروني والرسائل النصية وتطبيقات الدردشة. وأشارت إلى أن استخدام اللغة الفارسية في الملفات، ومنها وثيقة باسم “گزارش.docx”، يرجّح بقوة أن تكون الحملة صادرة عن جهات موالية للنظام الإيراني.
وجاء في بيان للشركة أن الهجوم “ربما بدأ بتصيد موجّه أو بحملات هندسة اجتماعية مطوّلة لبناء الثقة على مدى فترة زمنية، ثم استغلالها لإصابة الضحية ببرمجيات خبيثة”.
ودعت أكرونيس المستخدمين إلى توخي الحذر الشديد عند النقر على الروابط أو تنزيل الملفات من مصادر غير معروفة، إلى جانب الاعتماد على حلول أمنية محدثة.
وتأتي هذه التحذيرات في سياق اهتمام متزايد بالقدرات السيبرانية الإيرانية. فعلى الرغم من إضعاف الاقتصاد الإيراني بفعل العقوبات، يشير خبراء إلى أن قدرات طهران في مجال الهجمات الإلكترونية تطورت بشكل ملحوظ.
وفي يونيو الماضي، حذّرت وزارة الأمن الداخلي الأميركية من أن أي رد إيراني على ضربات أميركية محتملة قد يأتي على شكل هجمات سيبرانية.
وبحسب تقرير الأمن السيبراني لعام 2025 الصادر عن مايكروسوفت، استهدفت إيران في الغالب إسرائيل والولايات المتحدة والإمارات والهند بمحاولات هجوم إلكتروني. كما قال مسؤولون أميركيون إن طبيعة هذه الهجمات، حتى إن بقيت دون مستوى “العمل الحربي”، تظل مصدر قلق بالغ.
وفي أواخر العام الماضي، صرّح بريت ليذرمان، رئيس العمليات السيبرانية في مكتب التحقيقات الفيدرالي، بأن هجومًا سيبرانيًا إيرانيًا واسع النطاق على البنية التحتية الأميركية قد يُعتبر عملًا حربياً، وإن أقرّ بأن طهران تدرك أن مثل هذا السيناريو قد يفضي إلى ردع متبادل قاسٍ.
ويخلص خبراء الأمن إلى أن حملة “كريسنت هارفست” تمثل تطورًا مقلقًا في أدوات التجسس الرقمي، وتؤكد أن الصراع بين الدول لم يعد يقتصر على ساحات السياسة والعسكر، بل بات يمتد بعمق إلى الفضاء السيبراني، حيث تصبح الثقة نفسها سلاحًا في يد المهاجمين.
