قالت صحيفة 'يديعوت أحرونوت' إن طهران غيرت استراتيجيتها السيبرانية، لتنتقل من الهجمات واسعة النطاق إلى التجسس الشخصي المستهدف ضد كبار المسؤولين الإسرائيليين.

وبحسب الصحيفة، تعتمد إيران على بناء علاقات شخصية موثوقة مع الهدف قبل استدراجه إلى مؤتمرات واجتماعات مزيفة، ومن ثم إرسال روابط خبيثة تسمح باختراق طويل الأمد وغير مرئي.

كشفت المديرية الوطنية الرقمية في إسرائيل عن حملة سيبرانية غير مسبوقة تحمل اسم 'SpearSpecter'، يُنسب تنفيذها إلى مجموعة إيرانية مرتبطة بالحرس الثوري، وتعمل تحت مسميات عدة منها APT42 وCharmingCypress.

وتركز الحملة على استهداف كبار المسؤولين في قطاعات الدفاع والحكومة، إضافةً إلى أفراد من عائلاتهم. ويؤكد نير بار يوسف، رئيس وحدة السايبر الحكومية، أن الهدف لم يعد سرقة كلمات المرور فحسب، بل السيطرة المستمرة على الأنظمة المستهدفة.

تقوم المجموعة بقضاء أيام وأسابيع في بناء علاقات تبدو طبيعية مع الضحية، مستخدمة تطبيق 'واتساب' لإضفاء شعور بالشرعية والألفة. وبعد بناء الثقة، يُرسل رابط خبيث يؤدي إلى سلسلة هجمات معقدة:

الأهداف منخفضة المخاطر: استخدام صفحات تسجيل دخول مزيفة لالتقاط بيانات الضحية فورًا.

الأهداف عالية القيمة: زرع برنامج خلفي متطور يُعرف باسم TAMECAT، يعتمد على PowerShell، ما يصعّب اكتشافه عبر الأدوات الأمنية التقليدية.

تعتمد الهجمات على استغلال وظائف مدمجة في نظام 'ويندوز' وبنية WebDAV، مع استخدام منصات شرعية مثل تلغرام وديسكورد كقنوات تحكم وسيطرة (C2)، ما يجعل الحركة تبدو طبيعية ويصعب اكتشافها.

ويشير بار يوسف إلى أن التحقق المستمر والتأكد من هوية المرسل يمثلان أهم الوسائل لمواجهة هذا النوع من الهجمات.