بدأت الحرب في المنطقة تتخذ أبعادًا جديدة من الأسلحة والوسائل التي يمكن للاعبين استخدامها لتسجيل النقاط حينًا، ولضرب المنافس حينًا آخر. وعلى الرغم من تطور القدرات العسكرية، فقد تطورت معها القدرات العملياتية للمجموعات التي تقود الهجمات السيبرانية في المنطقة والعالم، حتى أصبح لهذه المجموعات كوادر تنظيمية في معظم الدول، ومنها في إسرائيل وإيران.

كشف تقرير أعدته شركة Dos-Op عن تفاصيل مجموعة الهجمات السيبرانية BQT.Lock (BaqiyatLock)، مؤكدًا وجود ارتباط مباشر ومنهجي بين المجموعة و"حزب الله"، بالإضافة إلى تعاونها مع المنظومة السيبرانية الإيرانية. ويعمل فريق BQT.Lock كذراع هجومي سيبراني مدفوع بأهداف أيديولوجية ودينية واضحة، حيث يدمج بين الأنشطة العسكرية، بما في ذلك "هجمات الفدية" وبيع أدواتها، وبين تعزيز أهداف "حزب الله" الأمنية والاقتصادية والنفسية.

تدير المجموعة منصة Ransomware-as-a-Service تحت اسم Baqiyat، وتدّعي أنها نجحت في تشفير مئات الحسابات حول العالم وسرقة بيانات حساسة. ويشير التقرير إلى أن الهجمات الرئيسية استهدفت إسرائيل (مطار بن غوريون، شركات الاتصالات Bezeq وPartner، وربما شركات الدفاع Rafael وElbit)، والولايات المتحدة (مواقع مرتبطة بالانتخابات الرئاسية لعام 2024)، بالإضافة إلى أهداف في السعودية والهند والإمارات ولبنان.

ويستغل عناصر "حزب الله" غالبًا وظائف مدنية شرعية، ما يسمح لهم بالوصول إلى أنظمة حساسة لدعم أهداف المنظمة، وهو نمط تشغيلي معروف وموثق دوليًا. ويُظهر اسم BaqiyatLock الانصهار بين الإيديولوجيا الشيعية والنشاط السيبراني الإيراني الهجومي، ما يعكس ما يمكن وصفه بـ "العمل الديني الرقمي".

وجاء البحث الذي أعدته شركة Dos-Op المتخصصة في التحقيقات الرقمية وكشف تسريبات البيانات وصيد التهديدات الآلي، بالتعاون مع مركز ألما لأبحاث التحديات الأمنية في اسرائيل، ليكشف عن نطاق عمليات المجموعة وأهدافها الاستراتيجية.

يشير التقرير كذلك إلى أن العديد من عناصر "حزب الله" يعتمدون ما يُعرف بـ "الحياة المزدوجة"، حيث يشغلون وظائف مدنية شرعية، مستفيدين من تعليمهم وخبراتهم المهنية وقدرتهم على الوصول إلى أنظمة وموارد حساسة لدعم الأهداف المدنية والعسكرية لـ "الحزب". ويسمح هذا النمط التشغيلي لـ "الحزب" بالاستفادة من كفاءات أفراده بشكل متكامل في المجالَين المدني والعسكري، بما يعكس استراتيجية متقدمة للتخفي والانتشار المؤثر داخل المجتمع.

ويشكّل ما يعرف بـ "نموذج مجتمع المقاومة" الإطار الذي يسمح لـ "حزب الله" بدمج النشاط المدني مع العمليات العسكرية والميدانية. ويمكّن هذا النموذج "الحزب" من توسيع قدراته وتمويه الخط الفاصل بين النشاطين المدني والعسكري، والاستفادة من الغطاء المدني لتسهيل العمليات السرية وتعزيز إمكانية الإنكار.

وفي هذا السياق، يشكّل عدد كبير من المسؤولين عن مجموعة الهجمات السيبرانية BQT.Lock مثالًا واضحًا على هذه الاستراتيجية. ويُعتقد أن هؤلاء المسؤولين استغلوا وظائفهم المدنية وخبراتهم التكنولوجية لدعم احتياجات "حزب الله" العملياتية، مستفيدين من البنية التحتية الرقمية ومستودعات البيانات وأنظمة الشركات. وأشارت التقارير إلى أن معظم المسؤولين المرتبطين بهذه المجموعة تلقوا تعليمهم في أبرز الجامعات اللبنانية، ويتميّز حضورهم على وسائل التواصل الاجتماعي بنشر دعاية ورسائل مؤيدة لـ "حزب الله"، بما يعكس ارتباطًا أيديولوجيًا عميقًا يتجاوز الاستخدام العسكري.

ويكشف التقرير أن اسم مجموعة BaqiyatLock يحمل أبعادًا دينية – أيديولوجية متصلة بـ "حزب الله". ففي التفسير الشيعي، تشير عبارة "بقية الله" إلى الحضور الإلهي المستمر أو إلى شخصية تُعد ممثلة لله على الأرض. وباختيار اسم BaqiyatLock، تجمع المجموعة بين المعنى الأيديولوجي (Baqiyat) والعنصر التكنولوجي (Lock)، بما يمنح الاسم رمزية تُعبّر عن معنى "باقي الله الذي يقفل أعداء الله"، وهو تجسيد للدمج بين الإيديولوجيا المهديّة والنشاط السيبراني الهجومي.

ويشير التقرير إلى أن اسم المجموعة ونشاطها وأهدافها وموقعها الأيديولوجي تشكل جميعها مؤشرات واضحة على الانخراط المباشر لـ "حزب الله" في هذه الهجمات. كما أن عمليات BQT.Lock، التي يُنفذ بعضها بالتعاون مع مجموعات سيبرانية إيرانية، تخدم أيضًا المصالح الاقتصادية لـ "الحزب" من خلال تحقيق دخل إضافي عبر "هجمات الفدية" لدعم نشاطاته.

ويضيف التقرير أن "حزب الله" لا يُنظر إليه فقط كمنظمة عسكرية، بل أيضًا كمنظمة توسّع مصادر دخلها غير القانونية، خصوصًا بعد تأثيرات الحرب مع إسرائيل وانهيار النظام السوري، الذي أضر بالممر اللوجستي – الاقتصادي الإيراني نحو لبنان.

وعلى الرغم من ظهورها كجماعة "Activist Hackers" تعمل بدوافع سياسية أو اجتماعية، فإن التقارير تؤكد أن مجموعة BQT.Lock ترتبط مباشرة بـ "حزب الله" وأنشطته العسكرية. فهي ليست جماعة ناشطة عادية، بل تُعد فرعًا رقميًا لـ "الحزب"، يعمل وفق أيديولوجية دينية – سياسية واضحة، وتنفذ هجماتها كامتداد للصراع الأيديولوجي والعملياتي لـ "الحزب"، وليس بتفويض من طرف ثالث.

ويكشف التقرير أن "حزب الله" يتبنى نموذجًا سيبرانيًا مشابهًا للاستراتيجية الإيرانية المعروفة بـ "الوطنية السيبرانية"، التي تعتمد على تجنيد مدنيين ذوي خبرة تقنية لتعزيز المصالح الوطنية والأمنية. ويعمل "الحزب" داخل لبنان على تجنيد المدنيين المؤهلين تقنيًا، وتدريبهم ونشرهم كقوة سيبرانية ضمن أجهزة "الحزب". ويعمل هؤلاء ضمن أطر مدنية شرعية، مستفيدين من خبراتهم التقنية للوصول إلى أهداف "الحزب". ويساعد هذا النمط "الحزب" على توسيع قدراته الرقمية، وطمس الحدود بين النشاطين المدني والعسكري، بالإضافة إلى تعزيز مفهوم "الإنكار المعقول" (plausible deniability)، بما يتماشى مع العقيدة الإيرانية في نشر الوكلاء الرقميين.

ويعمل نشاط هؤلاء المسؤولين في تناغم مع الوحدة السيبرانية لـ "حزب الله"، ما يشير إلى دورهم كعناصر عاملة أو داعمة داخل هذا الجهاز. وتوفر مهاراتهم التقنية لـ "الحزب" ميزات استخباراتية وعملياتية تشمل تنفيذ هجمات سيبرانية، استهداف كيانات مدنية أو حكومية، تحقيق تأثير نفسي، وتنفيذ هجمات لتحقيق مكاسب مالية. كما ساهمت خبراتهم المهنية في تطوير القدرات السيبرانية لـ "الحزب" وإنشاء أدوات جديدة وتحديث البنية التحتية الرقمية وتقديم استشارات فنية، وكذلك تعزيز عمليات جمع المعلومات من خلال اختراق الأنظمة وتحديد الثغرات واستخراج البيانات الحساسة.

وفي السياق نفسه، تعمل وحدة الأمن 900 التابعة لـ "حزب الله" كوحدة رقابية سرية تُشبه "الشرطة السرية". وتشمل مهامها مواجهة التجسس داخل لبنان، وتأمين النشاط العملياتي لـ "الحزب"، ومراقبة الكيانات السياسية والمدنية والعسكرية والأجنبية، بما فيها مواقع حساسة داخل الدولة اللبنانية والأحزاب المعارضة والدبلوماسيون والإعلاميون وبعض أفراد "اليونيفيل". وتهدف هذه المراقبة إلى حماية مصالح "الحزب" من التهديدات الأمنية والأنشطة الاستخباراتية الإسرائيلية داخل لبنان. وتستخدم الوحدة أدوات تقنية ورقمية تشمل SIGINT وWEBINT وOSINT، إضافة إلى قدرات سيبرانية لمراقبة أي كيان تعتبره تهديدًا أمنيًا أو عمليًا أو اجتماعيًا.

ومن المرجح أن يكون مسؤولو مجموعة BQT.Lock أو عناصرها مدمجين رقميًا ضمن هذه الوحدة، مستفيدين من خبراتهم التقنية في المراقبة وجمع المعلومات عبر الإنترنت، تحديد الأهداف، تتبع النشاط على الشبكات الاجتماعية، اختراق الأجهزة والخوادم، وجمع بيانات عن الأفراد أو المجموعات ذات الصلة بأمن "الحزب" أو مصالحه. وتشير التقارير إلى أن هذه المهارات تُستخدم في تحديد الأهداف ورصد النشاط على الشبكات الاجتماعية واختراق الأنظمة وجمع البيانات عن الجهات التي يعتبرها "الحزب" مصدر تهديد ديني أو اجتماعي أو أمني.

إيران العنصر الأساسي في اللعبة

شهد المجال السيبراني الإسرائيلي في الآونة الأخيرة عدة هجمات سيبيرانية متقدمة نُسبت إلى مجموعة التهديد الإيرانية MuddyWater. وفي إطار إحدى موجات النشاط البارزة، تمكّن المهاجمون من اختراق عدد من حسابات البريد الإلكتروني واستغلالها لتوزيع "رسائل تصيّد" على قوائم واسعة، ما منح هذه الرسائل مستوى عاليًا من المصداقية. وقد هدفت هذه الحملة إلى تمكين المهاجم من الحصول على وصول أولي إلى أجهزة المستخدمين من خلال نشر باب خلفي مخصّص من تطوير المجموعة، مثل BlackBeard، ثم تنفيذ حركة جانبية داخل الشبكة المؤسسية، ومواصلة نشر الحملة اعتمادًا على الحسابات المخترقة.

يعكس النشاط المكتشف الأنماط العملياتية المعتادة لمجموعة MuddyWater في المنطقة، مع إظهار تكيف تكتيكي ملحوظ، مثل استخدام رسائل باللغة التي تعتمدها الدولة التي تتعرض للهجوم الإلكتروني، بمستوى لغوي شبه صحيح، وتخصيص محتوى رسائل التصيّد بما يتناسب مع طبيعة المؤسسة المستهدفة، فضلًا عن إرفاق مستندات ومرفقات تبدو شرعية وتحتوي على تواقيع وشعارات مؤسسية.

وتُعد MuddyWater إحدى مجموعات التهديد الإيرانية الناشطة تحت سلطة وزارة الاستخبارات والأمن الإيرانية (MOIS)، وتُعرف أيضًا بأسماء متعددة مثل Static Kitten وZagros وMango Sandstorm. ومنذ عام 2017، تركز المجموعة على عمليات التجسّس الإلكتروني (CNE)، معتمدة بشكل رئيسي على تقنيات الهندسة الاجتماعية للحصول على وصول أولي إلى شبكات المؤسسات، ثم الحفاظ على وجود طويل الأمد بهدف جمع المعلومات الاستخبارية. وتنتشر أنشطة المجموعة في دول عديدة، من بينها إسرائيل وتركيا وأفغانستان وباكستان والإمارات والعراق والمملكة المتحدة وأذربيجان والولايات المتحدة ومصر ونيجيريا، وتستهدف قطاعات متنوعة تشمل الحكومة والاتصالات والرعاية الصحية والأوساط الأكاديمية وخدمات تكنولوجيا المعلومات والشركات الصغيرة والمتوسطة.

يُعد BlackBeard برمجية خبيثة مكتوبة بلغة Rust، تعمل كباب خلفي (Backdoor) وأداة لتنزيل حمولات إضافية (Downloader). ويُستخدم هذا البرنامج أساسًا خلال مرحلة الوصول الأولي لتوفير موطئ قدم للمهاجم داخل الشبكات المستهدفة. ويتمتع BlackBeard بقدرات متقدمة تشمل استطلاع النظام، وتجاوز منتجات الأمان، وتنزيل برمجيات إضافية تعزز وجود المهاجم وترسّخه داخل البيئة المستهدفة بصورة أعمق وأكثر استمرارية.

وفي سياق متصل، كشف تسريب ضخم عن هويات وبُنى تحتية وأدوات وعمليات وحدة التجسّس الإلكترونية العليا التابعة للحرس الثوري الإيراني، المعروفة باسم "القط الجذاب" (Charming Kitten)، مسلّطًا الضوء على جهودها الممتدّة لاختراق الجيش الإسرائيلي وصناعات الدفاع والبنى التحتية الحيوية في اسرائيل، وذلك وفق تحليل معمّق نشرته صحيفة "هآرتس". وتشير الوثائق إلى أن هذه الوحدة نفذت منهجيًا حملات تجسس وعمليات تأثير وهجمات سيبرانية على أهداف استراتيجية، أبرزها سلطة المطارات الإسرائيلية، وشركة الصناعات العسكرية "رفائيل"، ووزارة النقل الإسرائيلية، في دليل على نطاق وقدرات الهجوم السيبراني الإيراني عالميًا.

وقد نُشر التسريب عبر حساب مجهول على منصة GitHub يحمل اسم "Kitten Busters"، ويضم معلومات شاملة عن القراصنة وقادتهم وسجلات نشاطاتهم، إضافة إلى مستودع لتقنيات البرمجيات الخبيثة وبرامج التجسس والمراسلات الداخلية. وبحسب "هآرتس"، يتبيّن أن الوحدة تعد فرعًا عسكريًا كاملًا داخل الحرس الثوري، وليست مجموعة اختراق تعمل بالوكالة، وتحمل الاسم الرسمي "مجموعة الاستخبارات السيبرانية 1500"، ويظهر اسمها في وثائق رسمية تتضمن سلسلة قيادة واضحة، فضلًا عن حمل أفرادها رتبًا عسكرية وبطاقات تعريف وتقديمهم تقارير دورية لقادتهم وفق توجيهات تهدف إلى جمع المعلومات وتقويض الخصوم.

وأفادت شركة Enersun الإسرائيلية بأن بعض أنظمتها تعرضت لوصول غير مخوّل عن بُعد بين عامي 2018 و2019، إلا أن الإجراءات الوقائية منعت وقوع أضرار كبيرة.

كما يبيّن التقرير أن الوحدة تستخدم بنى تحتية عالمية وتقنيات تضليل تشمل هويات إسرائيلية مزيفة بأرقام محلية وخوادم افتراضية داخل إسرائيل، ما أتاح إخفاء الأنشطة وتعزيز مصداقية هجمات التصيّد والهندسة الاجتماعية. وتربط الوثائق "القط الفارسي" بمجموعات اختراق أخرى مثل Moses Staff وHandala، موضحة أن هذه الهويات استُخدمت لأغراض الدعاية والعمليات النفسية وحملات التضليل ضد أفراد ومؤسسات إسرائيلية.

ويمتد نشاط الوحدة خارج إسرائيل أيضًا، إذ تكشف الوثائق عن محاولات لاختراق جهات حكومية وتجارية في الشرق الأوسط وأوروبا، من بينها شرطة دبي، والحكومة الأردنية، ووزارة الخارجية التركية، وشركات الشحن اليونانية. وبحسب "هآرتس"، تنسجم هذه العمليات مع المصالح الاستراتيجية لإيران، بما يشمل مراقبة حركة الملاحة، والتحايل على العقوبات، وجمع معلومات عن الخصوم في المنطقة.

ويرى محللون أن "القط الفارسي" ليس مجرد مجموعة مدعومة من الدولة، بل كيان عسكري متكامل ضمن الاستراتيجية السيبرانية الأوسع لإيران. وتنقل "هآرتس" عن باحث إسرائيلي كبير قوله: "هذه وحدة عسكرية حقيقية، ليست مجموعة قراصنة تتلقى دعمًا من الدولة، بل هي الدولة نفسها، وليست وكيلاً بالنيابة". ويضمّ التسريب ملفات شخصية لأفراد الوحدة، من قادة الفرق ومختبري الاختراق ومطوري البرمجيات الخبيثة ومختصي التجسس الرقمي ومنسّقي الإعلام، ما يعكس هيكلية تنظيمية متقدمة.

وتكشف الوثائق كذلك قدرات تقنية متطورة، من بينها استخدام أداة BellaCiao للتجسس على الهواتف المحمولة، إضافة إلى أدلّة تشغيل مخصّصة لاختراق الأنظمة. وتُظهر مستندات داخلية وجود منهجية دقيقة في استهداف الأنظمة الحساسة الصناعية والتجارية والحكومية. وتشير مذكرة داخلية تعود إلى شباط 2024 إلى قيام الوحدة بمسح حوالى 256 مستخدم VPN إسرائيليًا، وتحديد 29 منها كأهداف ضعيفة، ما أدى إلى عمليتَي اختراق ناجحتَين، في دليل على قدرة الوحدة على استغلال الثغرات البرمجية.

كما تبرز "هآرتس" أن الوحدة تدير حملات تأثير سيبراني عالية التنظيم، من خلال تنسيق عمليات إعلامية تهدف إلى تعزيز التأثير النفسي، تشمل اختراق كاميرات المراقبة، ونشر ملفات شخصية، وتسريب وثائق حساسة. وتكشف الوثائق أيضًا محاولات لتجنيد عملاء لإيران داخل إسرائيل، إلى جانب حملات دعاية وتضليل تُنفذ بهويات مختلفة لإخفاء مصدرها الحقيقي.

ويُعدّ هذا التسريب غير المسبوق نافذة نادرة على بنية الحرب السيبرانية الإيرانية، كاشفًا كيفية عمل وحدة موجّهة من الدولة على مستوى عالمي عبر استهداف شبكات عسكرية وصناعية وحكومية بدقة. ومن خلال الجمع بين المعلومات، والعمليات الهجومية، وحملات التأثير، يعكس "القط الفارسي" طبيعة التهديد المتنامي الذي تواجهه إسرائيل ودول المنطقة. وبحسب "هآرتس"، يمثل التسريب واحدة من أكبر عمليات الكشف عن الأنشطة السيبرانية الهجومية الإيرانية حتى الآن، ويقدّم صورة واضحة عن مستوى التطور والقدرات والنوايا الاستراتيجية للحرس الثوري ووكلائه في الفضاء الإلكتروني، كما يسلّط الضوء على التحديات المتزايدة أمام الدول في مواجهة هجمات سيبرانية مدعومة حكوميًا تعتمد تقنيات واسعة الانتشار وتزييف الهويات وحملات متعددة المستويات عبر دول عدة.

نحو مرحلة جديدة من الحرب

تكشف المعطيات الواردة في التقارير والتحقيقات المختلفة عن تحوّل عميق في بنية المواجهة السيبرانية في المنطقة، حيث لم يعد نشاط "حزب الله" السيبراني مجرّد مبادرات متفرقة أو دعمًا لوجستيًا محدودًا، بل أصبح ذراعًا عملياتيًا متكاملًا يعمل وفق رؤية استراتيجية واضحة، ويستند إلى خبرات بشرية وتقنية واسعة، وإلى بنية دعم مباشرة مصدرها إيران. فالمجموعة السيبرانية BQT.Lock ليست سوى أحدى تجلّيات هذا التحوّل، إذ يظهر من خلال نموذج عملها وتكتيكاتها وارتباطها التنظيمي أنها تشكّل امتدادًا رقميًا صريحًا لمنظومة "حزب الله" العسكرية والأمنية.

إن قدرة "الحزب" على تجنيد مدنيين متخصصين في مجالات تكنولوجيا المعلومات، وتوظيف خبراتهم داخل بيئة عمل مدنية تمنح غطاءً شرعيًا، تمكّنه من بناء قوة سيبرانية يصعب رصدها أو مواجهتها بالوسائل التقليدية. ويتيح نموذج "مجتمع المقاومة" لـ "الحزب" دمج النشاط المدني بالعمليات العسكرية بطريقة منهجية، تمنحه مستوىً غير مسبوق من المرونة والقدرة على التخفي والانتشار داخل البيئات التي يعمل ضمنها.

تتجاوز خطورة القدرات السيبرانية لـ "الحزب" حدود تنفيذ هجمات تخريبية أو تشغيل منصات فدية. فهذه القدرات باتت جزءًا من منظومة استخباراتية –أمنية متكاملة تشمل جمع البيانات الحساسة، ورصد النشاطات السياسية والاجتماعية، واستهداف البنى التحتية، وتعزيز العمليات النفسية، والتأثير على وعي الجمهور والدول. ويتكامل هذا النشاط مع عمل وحدات "الحزب" الأمنية، مثل الوحدة 900، ومع بنيته التقليدية، ليشكّلا معًا جبهة خفية عالية التعقيد لا تقل خطرًا عن ترسانته العسكرية.

ولا يمكن فهم هذا التطور بمعزل عن الدعم الإيراني المباشر، سواء من خلال التدريب أو نقل الخبرات أو توفير أدوات الهجوم أو الدمج العملياتي مع وحدات مثل "Charming Kitten" و"MuddyWater" وغيرها من الأذرع التابعة للحرس الثوري ووزارة الاستخبارات الإيرانية. فالتقاطع الواضح بين تكتيكات هذه المجموعات وبنى عملها وبين نموذج "حزب الله" يكشف عن أن "الحزب" ليس مجرد مستفيد من القدرات الإيرانية، بل جزء لا يتجزأ من مشروع إيران السيبراني الإقليمي، يعمل كوكيل رقمي فعال يُسند إليه تنفيذ مهام مركّبة تتقاطع مع مصالح طهران الاستراتيجية.

إن هذا التناغم بين الطرفين يوسّع نطاق التهديدات ليشمل ساحات إقليمية ودولية، ويجعل من "حزب الله" لاعبًا رئيسيًا في حرب سيبرانية تتداخل فيها الدوافع الأيديولوجية والأهداف العسكرية والمكاسب الاقتصادية. ومن خلال هذا الاندماج، يصبح "الحزب" قادرًا على شن عمليات ذات أثر واسع، سواء عبر تعطيل قطاعات حساسة، أو جمع معلومات عالية القيمة، أو تنفيذ عمليات تأثير نفسي، الأمر الذي يجعل قدراته الرقمية أحد أخطر التهديدات المتنامية في الشرق الأوسط.

ومع استمرار انخراط إيران في توسيع نفوذها السيبراني عبر وكلائها، ومع التطور المتسارع في أدوات الهجوم والاختراق، تبدو قدرات "حزب الله" السيبرانية مرشحة لمزيد من التوسع، بما يُنبئ بأن المرحلة المقبلة ستشهد مستوى أعلى من المواجهة الرقمية، حيث يتحول الفضاء السيبراني إلى ساحة قتال مركزية لا تقل أهمية عن ميادين الصراع التقليدية.