استخبارات الخصم

كان لدى كيتن الخريطة طوال الوقت: رفع التوترات في دول مجلس التعاون الخليجي وخريطة التموضع المسبق

كشف تقرير CloudSek الجديد أن APT35 (Charming Kitten) المرتبطة بإيران أجرت سنوات من الاستطلاع السيبراني عبر دول مجلس التعاون الخليجي قبل الضربات الصاروخية المنسقة، مما يشير إلى أن العمليات السيبرانية مكنت بشكل مباشر من الاستهداف الحركي. تم تحديد البنية التحتية الحيوية في جميع أنحاء الإمارات العربية المتحدة والمملكة العربية السعودية وقطر وغيرها مسبقًا وفي بعض الحالات تم اختراقها. يسلط التقرير الضوء على تحول خطير - لم تعد الحرب الإلكترونية دعمًا، ولكنها سلاح الخط الأمامي في النزاعات الحديثة.

April 9, 2026

دقيقة

جدول المحتوى

مثال H2

Threat Rating Card

Threat Rating: Critical & Active

APT35 (Charming Kitten / Moses-Staff / Al-Qassam) is widely attributed to the IRGC Intelligence Organization and appears to maintain pre-positioned access across multiple GCC environments targeted during the campaign. Iranian cyber retaliation activity appears to be underway. Defensive teams should prioritize immediate monitoring and mitigation.

1. نظرة عامة على الوضع

في 28 فبراير 2026، أطلقت الولايات المتحدة وإسرائيل عملية Epic Fury، ودمرت البنية التحتية النووية الإيرانية وقتلت المرشد الأعلى خامنئي. تم تخفيض الإنترنت في إيران إلى 4٪. وردت إيران بحملة صواريخ باليستية وطائرات بدون طيار استمرت عدة أيام وضربت سبع دول في وقت واحد: المملكة العربية السعودية والإمارات العربية المتحدة والكويت والبحرين وقطر والأردن وإسرائيل. تم إغلاق مضيق هرمز والحملة مستمرة حتى تاريخ النشر.

2. الاكتشاف المركزي: الاستطلاع السيبراني سبق الضربات الحركية

الكشف عن كيتنبوسترز (سبتمبر - أكتوبر 2025) يوفر نظرة ثاقبة لنشاط الاستطلاع الذي سبق حملة الإضراب الحالية. سبق أن تم تصنيف العديد من الدول التي استهدفتها الضربات الإيرانية أو اختراقها بواسطة APT35. العلاقة بين الأهداف السيبرانية ومواقع الضربات الصاروخية منهجية:

Cyber Recon Table

Cyber Recon Target	APT35 Pre-Positioned Access	Kinetic Strike That Followed
Jordan Civil Aviation	Files exfiltrated via Telerik CVE	Amman struck; 13 BMs + 49 drones
UAE / Dubai Government	Internal materials accessed; flydubai BellaCiao deployment	Al Dhafra, Dubai Airport, Jebel Ali struck; 167 missiles + 541 UAVs
Saudi Council of Ministers	Decision documents exfiltrated; National Water Co. penetrated	Riyadh, Eastern Province struck; Shamoon 4.0 already deployed Jan 24
Kuwait Civil Aviation	Airport confirmed target; gov networks mapped	Airport terminal damaged; 97 BMs + 283 drones engaged
Israel ICS/SCADA	580+ modems exploited; Rafael Defense Systems targeted	Nationwide barrages; Iron Dome breached multiple times

3. عامل التهديد: APT35 - الآن منصة موحدة للحرس الثوري الإيراني

يُنسب APT35 (المعروف أيضًا باسم تشارمينغ كيتن، والفوسفور، والنعناع ساندستورم، وماجيك هاوند) إلى منظمة استخبارات الحرس الثوري الإيراني، الوحدة 1500، القسم 40، بقيادة عباس رهروفي من خلال الشركة الأمامية زارف أنديشان تافاكور سفيد. يؤكد تسريب KittenBusters أن شخصيتين متميزتين سابقًا - Moses-Staff (عمليات المسح المدمرة، التي تركز على إسرائيل) ومقاتلات القسام الإلكترونية (DDoS، تمويل أمريكي/إسرائيلي) - يتم تمويلهما من نفس الميزانية التشغيلية.

وهذا يعني أنه يجب إعادة نسب جميع هجمات Moses-Staff السابقة إلى القسم 40 التابع لـ IRGC-IO. وفي أعقاب التقارير عن وفاة خامنئي والتصعيد الإقليمي المستمر، قد يتم إعادة تنشيط شخصية «موسى - ستاف» للقيام بعمليات تدميرية إذا استمر التصعيد.

4. العمليات السيبرانية النشطة (اعتبارًا من 2 مارس 2026)

Actor Threat Table (Responsive Cards)

Actor	Affiliation	Confirmed Actions	Expected Next Targets
Handala Hack	MOIS (Iran)	Jordan infrastructure attacked; Israeli healthcare breach; ICS disruption claimed; UAE threatened	Israeli hospitals, water; UAE govt/financial networks; Jordan fuel infra
APT35 / Dept. 40	IRGC-IO	Pre-positioned access across Jordan, UAE, Saudi, Kuwait confirmed; webshell activation likely underway	Israel (via Moses-Staff wiper); Jordan MoJ; UAE aviation; Saudi energy
APT33 / Elfin	IRGC	Shamoon 4.0 wiper deployed Jan 24, 2026 — 15,000 Saudi energy workstations wiped	Saudi Aramco; GCC petrochemical; UAE energy sector
CyberAv3ngers	IRGC-CEC	Historically targeted Unitronics PLCs; on elevated alert	US/GCC water & wastewater ICS; Israeli industrial systems

Handala Hack

Affiliation: MOIS (Iran)

Confirmed Actions: Jordan infrastructure attacked; Israeli healthcare breach; ICS disruption claimed; UAE threatened

Expected Next Targets: Israeli hospitals, water; UAE govt/financial networks; Jordan fuel infra

APT35 / Dept. 40

Affiliation: IRGC-IO

Confirmed Actions: Pre-positioned access across Jordan, UAE, Saudi, Kuwait confirmed; webshell activation likely underway

Expected Next Targets: Israel (via Moses-Staff wiper); Jordan MoJ; UAE aviation; Saudi energy

APT33 / Elfin

Affiliation: IRGC

Confirmed Actions: Shamoon 4.0 wiper deployed Jan 24, 2026 — 15,000 Saudi energy workstations wiped

Expected Next Targets: Saudi Aramco; GCC petrochemical; UAE energy sector

CyberAv3ngers

Affiliation: IRGC-CEC

Confirmed Actions: Historically targeted Unitronics PLCs; on elevated alert

Expected Next Targets: US/GCC water & wastewater ICS; Israeli industrial systems

5. البرامج الضارة الرئيسية في اللعب

أصدرت الحلقة 3 من تسريب KittenBusters شفرة المصدر الكاملة لـ APT35 لبرامجها الضارة المخصصة. تشمل الأدوات الرئيسية التي يتم نشرها الآن ضد أهداف دول مجلس التعاون الخليجي BellaCiao (غلاف الويب C #/.NET مع استمرار خدمة Windows، والذي تم اختباره ضد Defender/Kaspersky/ESET)، و Sagheb RAT (برنامج تسجيل المفاتيح الأصلي لـ FUD باستخدام توجيه TOR، يسرق بيانات اعتماد Firefox و Telegram)، وإطار عمل Python/Webshell لإدارة العديد من المضيفين المخترقين. يتيح الكشف عن شفرة المصدر للمدافعين بناء قواعد YARA الدقيقة.

6. الثغرات الأمنية ذات الأولوية التي تم استغلالها بواسطة APT35

CVE Table - Responsive Cards

CVE	Product	APT35 Usage
CVE-2024-1709/1708	ConnectWise ScreenConnect	Day-1 exploitation; mass multi-country campaigns
CVE-2021-34473 (ProxyShell)	Microsoft Exchange	Institutional compromise and credential extraction
CVE-2024-21887	Ivanti Connect Secure (VPN)	Initial access into govt/enterprise networks
CVE-2021-44228	Apache Log4j (Log4Shell)	Broad Java application targeting
CVE-2019-18935	Telerik .NET	Used in Jordan Ministry of Justice penetration
GoAhead/TP-LINK/ASUS/D-Link	Consumer/SMB Routers	580+ devices compromised for DNS manipulation

CVE: CVE-2024-1709/1708

Product: ConnectWise ScreenConnect

APT35 Usage: Day-1 exploitation; mass multi-country campaigns

CVE: CVE-2021-34473 (ProxyShell)

Product: Microsoft Exchange

APT35 Usage: Institutional compromise and credential extraction

CVE: CVE-2024-21887

Product: Ivanti Connect Secure (VPN)

APT35 Usage: Initial access into govt/enterprise networks

CVE: CVE-2021-44228

Product: Apache Log4j (Log4Shell)

APT35 Usage: Broad Java application targeting

CVE: CVE-2019-18935

Product: Telerik .NET

APT35 Usage: Used in Jordan Ministry of Justice penetration

CVE: GoAhead/TP-LINK/ASUS/D-Link

Product: Consumer/SMB Routers

APT35 Usage: 580+ devices compromised for DNS manipulation

7. مؤشرات الأولوية للتسوية (IOCS)

النطاقات التي يجب حظرها على الفور: dreamy-jobs.com (APT35 نقطة جذب لمكافحة التجسس، أكدتها Google/Mandiant)، gassam.su (نطاق شخصي للقسام)، aecars.store (البنية التحتية للتصيد الاحتيالي)، 1543.ir (الصوت عبر بروتوكول الإنترنت الداخلي).

نطاقات IP الرئيسية: 95.169.196.0/24 و 185.141.63.0/24 (استضافة العمليات)؛ 88.80.145.0/24 (مستمع C2، تنظيم الملفات، ترحيل SSH)؛ 103.57.251.31 (وكيل إخفاء الهوية).

مؤشرات البريد الإلكتروني: الاسم الغربي لشخصيات ProtonMail على نطاق واسع ([الاسم الأول]. [الاسم الأخير] نمط @protonmail .com). تشمل الحسابات النشطة التي تم التحقق منها may.arnold@ و [email protected].

8. توصيات دفاعية

فوري - 24 ساعة القادمة

قم بحظر جميع نطاقات IOC ونطاقات IP المذكورة أعلاه عبر جدران الحماية المحيطة و DNS.
التصحيح في حالات الطوارئ: كونيكتوايز سكرين كونيكت، وبروكسي شل (إكسهانج)، وإيفانتي كونيكت سكيور، وتيليريك. إذا لم يكن التصحيح ممكنًا، فقم بعزل الأنظمة.
ابحث عن تنفيذ Plink.exe في بيئات الخادم (مؤشر BellaCiao Variant 2 الأساسي) و Adminer.php /أغلفة ويب ASP/ASPX المخصصة على الخوادم التي تواجه الإنترنت.
قم بتدوير جميع بيانات اعتماد مسؤول المجال. قم بمراجعة حسابات المشرف التي تم إنشاؤها منذ يناير 2024.
إذا كانت مؤسستك تعمل في الأردن أو الإمارات العربية المتحدة أو المملكة العربية السعودية: ابدأ تقييمًا فوريًا للتسوية.

أولوية عالية - في غضون 72 ساعة

تكوين الكشف السلوكي لـ Sagheb RAT: إنشاء دائرة TOR من عمليات غير المستخدم؛ حركة مرور HTTP المشفرة بـ XOR.
قم بمراجعة أسطول أجهزة توجيه SOHO/المستهلك (TP-LINK و ASUS و D-Link و Cisco RV) لسلوك إعادة توجيه DNS.
التحقق من وضع التخفيف من هجمات DDoS - من المتوقع حدوث هجمات على غرار القسام على القطاع المالي في غضون أيام.
قم بفرض MFA في كل مكان - يقوم Sagheb RAT على وجه التحديد بسرقة بيانات اعتماد Telegram لسطح المكتب وفايرفوكس لتجاوز المصادقة.
في حالة استخدام Sophos أو Trend Micro أو SentinelOne: قامت APT35 بتوثيق أبحاث تجاوز AV ضد الثلاثة. تحقق من تمكين التغطية السلوكية (وليس فقط القائمة على التوقيع).

Strategic Context

STRATEGIC CONTEXT

Following the reported death of Khamenei and the escalation triggered by Operation Epic Fury, Iranian cyber units are likely to play a more prominent role in retaliation and signaling activities. At the same time, reduced staffing within CISA due to a DHS funding lapse may limit coordination and response capacity during the early stages of the crisis. As a result, the period immediately following the operation is likely to represent an elevated risk window for Iranian cyber activity targeting GCC infrastructure.