استخبارات الخصم

تقرير الوضع: التصعيد في الشرق الأوسط (27 فبراير - 1 مارس 2026)

يدرس التقرير التصعيد الحاد في أعقاب الضربات الإسرائيلية الأمريكية المشتركة في 28 فبراير 2026 على إيران، مما أدى إلى نشوب صراع هجين يمزج بين الهجمات الحركية والعمليات السيبرانية غير المسبوقة. واجهت إيران انقطاعًا شبه كامل في الإنترنت، في حين انتشر النشاط الانتقامي الصاروخي والسيبراني في جميع أنحاء إسرائيل والخليج وخارجها. تم تسجيل أكثر من 150 حادثة اختراق، مع مخاطر عالمية غير مباشرة على قطاعات الطاقة والتمويل وتكنولوجيا المعلومات والبنية التحتية الحيوية

March 2, 2026

دقيقة

جدول المحتوى

مثال H2

ملخص تنفيذي

يحلل هذا التقرير المشهد الجيوسياسي والسيبراني سريع التطور في الشرق الأوسط في أعقاب الضربات الإسرائيلية الأمريكية المشتركة على إيران التي انطلقت 28 فبراير 2026، والعمليات السيبرانية المرتبطة بها والمخاطر غير المباشرة من 27 فبراير - 1 مارس 2026 ومستمرة. دخل الصراع مرحلة مختلطة تجمع بين الضربات الحركية واسعة النطاق، والاضطراب شبه الكامل للبيئة الرقمية الإيرانية، ونشاط التهديد السيبراني المتزايد الذي يؤثر على كل من تكنولوجيا المعلومات الإقليمية والعالمية وقطاعات البنية التحتية الحيوية.

‍

النتائج الرئيسية

قامت إسرائيل والولايات المتحدة بضربات منسقة على القيادة الإيرانية والمواقع العسكرية والنووية في إطار العملية الأسد الهائر/إيبيك فيوري، في حين ردت إيران بإطلاق وابل من الصواريخ عبر إسرائيل والقواعد الإقليمية الأمريكية.
بالتوازي مع الحملة الحركية، أطلقت إسرائيل ما تم وصفه بـ أكبر هجوم إلكتروني في التاريخ ضد إيران، مما ساهم في انقطاع الإنترنت بشكل شبه كامل، وتعطيل الخدمات الحكومية ووسائل الإعلام وأجزاء من البنية التحتية للطاقة والطيران.
أبلغت الإمارات العربية المتحدة ودول الخليج الأخرى عن موجات من التطور والمتزايد الهجمات الإلكترونية التي تدعم الذكاء الاصطناعي على الأنظمة الحكومية والتمويل والقطاعات الحيوية في الفترة من 21 إلى 26 فبراير 2026، والتي تقول السلطات الوطنية إنه تم اكتشافها وإحباطها بشكل منهجي باستخدام المراقبة والاستجابة المنسقة، مع الحفاظ على الخدمات الأساسية عبر الإنترنت.
يوفر استخدام إيران منذ فترة طويلة لـ APT الموجّهة من قبل الحرس الثوري الإيراني ومنظمة الأمن الإسلامي ومجموعات قراصنة الإنترنت المنتدبة مجموعة أدوات جاهزة للانتقام غير المتماثل ضد إسرائيل والولايات المتحدة ودول الخليج ودول الدرجة الثانية التي لها روابط اقتصادية أو سياسية بالصراع.
تواجه البلدان المتضررة من الدرجة الثانية، بما في ذلك الهند والدول الأوروبية واليابان وكوريا الجنوبية، مخاطر متزايدة من التجسس، وتسوية سلسلة التوريد، وحوادث الحرمان من الخدمة، وبرامج الفدية، والمعلومات المضللة حيث تستغل الجهات الفاعلة في مجال التهديد الترابط العالمي في الطاقة والتمويل والشحن وخدمات تكنولوجيا المعلومات.
تواجه سلاسل التوريد العالمية وتدفقات الطاقة اضطرابًا جديدًا، حيث أن شركات النفط والغاز الكبرى و يقوم التجار بتعليق الشحنات مؤقتًا عبر مضيق هرمز، تقوم خطوط الحاويات الرئيسية بسحب السفن من ممرات هرمز/البحر الأحمر، ويبلغ المصدرون الهنود والأوروبيون عن ارتفاع تكاليف الشحن والتأمين وأوقات عبور أطول، لا سيما على الممرات الهندية - الأوروبية/الأمريكية.

توصيات للمنظمات

إجراءات وقائية فورية لزيادة حاجز الدخول لمحاولة الجهات الفاعلة في التهديد.

إعادة تعيين بيانات الاعتماد على مستوى المؤسسة: إجراء تناوب أوراق الاعتماد على مستوى المؤسسة لجميع الموظفين. سيؤدي ذلك إلى إعداد مؤسستك للهجمات من قراصنة الإنترنت والجهات الفاعلة ذات التهديد المنخفض إلى المتوسط التي تعتمد على التسوية القائمة على بيانات الاعتماد.
بالنسبة لمستخدمي Xvigil: استخدم جهاز كمبيوتر مخترق الوحدة و خروقات بيانات الاعتماد وحدة للتحقق من بيانات الاعتماد المسربة عبر الويب العميق والمظلم. من الحجم، حدد مرتفع لتصفية بيانات الاعتماد الهامة المسربة وتحديد أولوياتها.
فرض المصادقة متعددة العوامل (MFA): على جميع مسارات الوصول الخارجية، وخاصة VPN و RDP و SSH ووحدات تحكم المشرف السحابية.

‍

بالنسبة لمستخدمي BeVigil: لزيادة تعزيز أصولك، قم بتصحيح النتائج الهامة المحددة في ماسحات تطبيقات الويب و ماسحات CVE للقضاء على التهديدات المتدنية وزيادة حاجز الدخول أمام الجهات الفاعلة التي تحاول التهديد.

تكنولوجيا المعلومات والاتصالات الاستراتيجية والحوكمة

التوافق مع الإرشادات الحكومية: تتبع تنبيهات DHS و ENISA و CERT الوطنية وتنبيهات ISAC القطاعية المتعلقة بالتهديدات الإيرانية والإقليمية؛ دمج تحديثات IOC و TTP في SIEM وسير عمل هندسة الكشف.
تعريف كتيبات التصعيد والأزمات: ضع معايير واضحة للانتقال إلى أوضاع «التنبيه الشديد» (على غرار «Shields Up»)، بما في ذلك المراقبة المكثفة وزيادة عدد الموظفين ونوافذ التغيير المقيدة للأنظمة الحيوية.

الضوابط الفنية والتصلب

الهوية والوصول والمحيط:

قم بمراجعة VPN وأجهزة الوصول عن بُعد بحثًا عن الأبواب الخلفية والحسابات غير المعروفة وتغييرات التكوين غير المصرح بها؛ قم بالتصحيح بشكل عاجل وقم بتقسيم واجهات الإدارة.
قم بتطبيق ضوابط الوصول المشروط والجلسة للتخفيف من هجمات AiTM وسرقة الرموز التي تم تسليط الضوء عليها باعتبارها تهديدات رئيسية في المنطقة.

أمان الشبكة ونقطة النهاية:

يمكنك نشر EDR/XDR الفعّال وجمع السجلات عبر نقاط النهاية والخوادم؛ وإعطاء الأولوية لعمليات الكشف عن سلوكيات APT المعروفة في إيران والشرق الأوسط (Cobalt Strike، وقذائف الويب، وإساءة استخدام PowerShell، وإغراق بيانات الاعتماد).
راقب استجابات DNS غير الطبيعية وعمليات إعادة توجيه HTTP غير المتوقعة وشهادات TLS الموقعة ذاتيًا أو غير الموثوق بها كمؤشرات محتملة لاعتراض حركة المرور أو إعادة توجيهها.

DDoS والتوافر:

يمكنك التفاعل مع مزودي خدمة الإنترنت وموفري الخدمات السحابية لضمان تخفيف هجمات DDoS القادرة على زيادة عدد المستخدمين وتنقية حركة المرور، من خلال كتيبات لعب محددة لأعباء العمل الحكومية والمالية والإعلامية التي قد تكون مستهدفة للتأثير السياسي.

حماية البيانات واستردادها:

احتفظ بنسخ احتياطية غير قابلة للتغيير دون اتصال بالإنترنت للأنظمة المهمة، وخاصة أنظمة التحكم الصناعي والتقنيات التشغيلية والرعاية الصحية وتطبيقات الأعمال الأساسية؛ واختبر الاستعادة بانتظام في ظل سيناريوهات المحاكاة للمسح أو برامج الفدية.

أولويات المراقبة والكشف

التصفية الجغرافية والقائمة على الشركاء: تطبيق التدقيق المعزز على حركة المرور من وإلى نطاقات IP في الشرق الأوسط، وعلى الاتصالات التي تشمل الشركاء الإقليميين أو الموردين في القطاعات عالية المخاطر.
البحث عن التهديدات التي تتعرض لها أجهزة APT التي تعيش لفترة طويلة: قم بإجراء عمليات بحث تركز على سجلات VPN والبنية التحتية للهوية والأجهزة المتطورة لتحديد التسوية المحتملة على المدى الطويل، كما هو موضح في الحملات الأخيرة.
مراقبة الهاكتيفيست والمعلومات المضللة: تتبع قنوات Telegram ووسائل التواصل الاجتماعي وقنوات «العمليات» العامة للحصول على مؤشرات للحملات المنسقة التي تستهدف قطاعك أو منطقتك الجغرافية، خاصة للمؤسسات في مجال التمويل والحكومة والإعلام.

السياق الجيوسياسي والجدول الزمني للتصعيد

خلفية ما قبل عام 2026: التوترات بين إيران وإسرائيل والولايات المتحدة

لأكثر من عقد من الزمان، انخرطت إيران وإسرائيل في مواجهة سرية وعلنية تشمل صراعات بالوكالة واغتيالات مستهدفة وعمليات سيبرانية مستدامة. وضعت استراتيجية إيران في مرحلة ما بعد فيروس «ستوكسنت» القدرات السيبرانية كركيزة أساسية غير متماثلة، مما مكّن من تعطيل البنية التحتية الإقليمية، والتجسس، وحملات التأثير عبر الوكلاء مع إمكانية إنكار معقولة.

وأدت حرب غزة بين عامي 2023 و2024 والمناوشات اللاحقة بين إيران وإسرائيل إلى تسريع هذا المسار، بما في ذلك الهجمات التي نُسبت إلى إسرائيل على توزيع الوقود الإيراني ومصانع الصلب والمؤسسات المالية المرتبطة بمجموعات مثل «العصفور المفترس». في يونيو 2025، تضمن الصراع بين إيران وإسرائيل الذي استمر اثني عشر يومًا نشاطًا منسقًا للقراصنة الإلكترونيين وأنشطة APT، ومئات الهجمات الإلكترونية المزعومة، وزيادة عمليات الاحتيال عبر نظام تحديد المواقع العالمي وعمليات المعلومات في جميع أنحاء المنطقة.

قبل إضرابات فبراير 2026

‍

بحلول أوائل عام 2026، الولايات المتحدة وإيران و تصاعد التوتر بين إسرائيل وإيران حول برامج إيران النووية والصاروخية والنشاط الإقليمي بالوكالة، إلى جانب الحشد العسكري الأمريكي الكبير في الشرق الأوسط. وحذر المحللون من أن النظام البيئي السيبراني الإيراني APT33/35، وOilRig/MuddyWater، ومجموعات القرصنة الإلكترونية المتحالفة مع الحرس الثوري الإيراني، ستكون بمثابة أداة في الخطوط الأمامية في أي مواجهة متجددة.

وفي الوقت نفسه، تم تكثيف النشاط السيبراني الإقليمي:

دول مجلس التعاون الخليجي، لا سيما الإمارات العربية المتحدة، المبلغ عنها هجمات إلكترونية يومية متطورة ومعززة بالذكاء الاصطناعي تستهدف القطاعات الحكومية والمالية.
لاحظت العديد من الشركات استغلال الباب الخلفي لشبكة VPN، وقذائف الويب المستمرة، والاستهداف متعدد القطاعات عبر التمويل والرعاية الصحية والتعليم والتكنولوجيا وتجارة التجزئة.
إرشادات CTI أشار إلى موطئ قدم APT الإيراني طويل الأجل في البنية التحتية الحيوية للشرق الأوسط من خلال سرقة بيانات الاعتماد واختراق VPN منذ أوائل عام 2025.

27-28 فبراير 2026: التصعيد الحركي والسيبراني

في 28 فبراير 2026، شنت إسرائيل والولايات المتحدة ضربات منسقة على مجمعات القيادة الإيرانية ومرافق الحرس الثوري الإيراني والبنية التحتية ذات الصلة بالطاقة النووية تحت الاسم الرمزي Roaring Lion وعملية Epic Fury. وشملت الأهداف طهران وأصفهان وقم وكرج وكرمانشاه ومواقع استراتيجية أخرى. وبحسب ما ورد دمرت الضربات مجمع المرشد الأعلى علي خامنئي وعطلت اتصالات القيادة الأمنية العليا.

‍

وردت إيران بالصواريخ الباليستية وطائرات بدون طيار تستهدف إسرائيل والقواعد الأمريكية في جميع أنحاء الأردن وسوريا والكويت والبحرين وقطر والمملكة العربية السعودية والإمارات العربية المتحدة، في حين استأنفت حركة الحوثي في اليمن هجمات البحر الأحمر.
في نفس الوقت، تقارير وصف عملية سيبرانية إسرائيلية واسعة النطاق ضد إيران وصفت بأنها الأكبر في التاريخ مما أدى إلى اضطراب رقمي واسع النطاق و «ضباب رقمي» على مستوى البلاد.

البلدان المشاركة بشكل مباشر وغير مباشر

المتحاربون الأساسيون

إيران 🇮🇷 - هدف الضربات المشتركة والخصم الرئيسي في المواجهة. يشرف الحرس الثوري الإيراني ووزارة الاستخبارات (MOIS) على نظام بيئي إلكتروني ناضج يجمع بين APTs المتحالفة مع الدولة ومجموعات القرصنة بالوكالة القادرة على التجسس والتعطيل وعمليات التأثير المنسقة.

إسرائيل 🇮🇱 - فاعل عسكري إقليمي رائد يشن ضربات على الأراضي الإيرانية وخصم إلكتروني طويل الأمد لإيران، وله تاريخ من العمليات السيبرانية الهجومية المنسوبة إلى الوحدة 8200 ومجموعات مثل Purpositation Sparrow.

الولايات المتحدة🇺🇸 - شريك استراتيجي لإسرائيل وقائد مشارك في ضربات 28 فبراير 2026، مع الحفاظ على قاعدة خليجية واسعة وسجل مستمر من المواجهة السيبرانية مع إيران، لا سيما فيما يتعلق بقضايا البنية التحتية النووية والحرجة.

الدول الإقليمية تحت النار أو المخاطر المرتفعة

رداً على ذلك، أطلقت إيران صواريخ وطائرات بدون طيار تستهدف إسرائيل والمنشآت الأمريكية عبر دول متعددة:

الأردن - تستضيف القوات الأمريكية وأصول الدفاع الصاروخي.
سوريا - مسرح عمليات لوكلاء إيران والقوات الأمريكية/قوات التحالف.
الكويت، البحرين، قطر، المملكة العربية السعودية، الإمارات العربية المتحدة - مراكز القواعد والمراكز الاقتصادية الرئيسية في الولايات المتحدة، مما يجعلها أهدافًا حركية وسيبرانية محتملة.

وفي الوقت نفسه، زاد الوكلاء المقيمون في لبنان واليمن، بما في ذلك حزب الله والحوثيون، من الضغط، مما زاد من التعرض للمخاطر البحرية والجوية والمخاطر السيبرانية ذات الصلة.

البلدان المتضررة من الدرجة الثانية

تواجه الدول التي لها روابط اقتصادية أو دبلوماسية أو رقمية مع المنطقة مخاطر التداعيات والاضطرابات القطاعية:

الهند - مستورد رئيسي للطاقة في الخليج ومزود تكنولوجيا المعلومات/BPO يخدم العملاء في الشرق الأوسط وإسرائيل.
دول الاتحاد الأوروبي (لا سيما ألمانيا وفرنسا والمملكة المتحدة) - استضافة الشركات المالية والصناعية وشركات الطاقة النشطة في الأسواق الخليجية والإسرائيلية والتي تعد أهدافًا متكررة للنشاط السيبراني المرتبط بإيران.
اليابان وكوريا الجنوبية - تعرض التكنولوجيا والاقتصادات الصناعية للاعتماد على الطاقة في الشرق الأوسط ومخاطر ICS المرتبطة بسلسلة التوريد.
تركيا - مركز إقليمي للخدمات اللوجستية والاتصالات يربط بين أوروبا والشرق الأوسط، مع التعرض عبر طرق النقل وممرات الطاقة.

الأنشطة السيبرانية: ماذا ومتى وكيف (27-28 فبراير والسياق الفوري)

الهجوم السيبراني الإسرائيلي ضد إيران

مع بدء الضربات الجوية في 28 فبراير 2026، أفادت التقارير أن إسرائيل أطلقت حملة إلكترونية واسعة النطاق تهدف إلى شل شبكات المعلومات والقيادة والبنية التحتية الحيوية في إيران.

ماذا (التأثيرات):

انخفض الاتصال بالإنترنت في إيران إلى ما يقرب من 4٪ من المستويات العادية، مما أدى إلى انقطاع شبه كامل في جميع أنحاء البلاد.
وتعطلت بشدة البنية التحتية الحيوية ووسائل الإعلام الرسمية (بما في ذلك وكالة أنباء الجمهورية الإسلامية الإيرانية وتسنيم المرتبطة بالحرس الثوري الإيراني) وأنظمة الاتصالات الأمنية، مما ساهم في تعطل اتصالات القيادة.
شهدت الخدمات الرقمية الحكومية والتطبيقات المحلية في مدن مثل طهران وأصفهان وشيراز انقطاعات واسعة النطاق.

عندما:

اشتدت الاضطرابات في 28 فبراير 2026، في غضون ساعات من بدء العمليات الجوية المشتركة، مع تأكيد المراقبين المستقلين الانخفاض الحاد في الاتصال في ذلك اليوم.

كيف (الآليات المحتملة):

الحرب الإلكترونية، بما في ذلك التشويش وانتحال أنظمة الملاحة والاتصالات.
هجمات DDoS ضد البنية التحتية الحكومية والإعلامية.
عمليات اختراق الشبكة العميقة التي تستهدف أنظمة الطاقة والطيران، مما قد يؤدي إلى الاستفادة من الوصول المسبق أو نقاط الضعف في يوم الصفر.
اختطاف وسائل الإعلام أو تشويهها لنشر رسائل مناهضة للنظام.

يشير حجم الاضطراب إلى أن البنية الاحتياطية لـ «الإنترنت الوطني» في إيران كانت مرهقة، مما تسبب في فشل التجزئة النظامية.

استجابة إيران السيبرانية والمعلوماتية

على الرغم من تقييد الاتصال، تشير التقارير وأنماط النزاع السابقة إلى استجابة دفاعية وهجومية مزدوجة.

تدابير دفاعية فورية:

تشبه قيود الإنترنت التي تفرضها الدولة عمليات الإغلاق السابقة للاحتجاجات والنزاعات، والتي من المرجح أن تهدف إلى الحد من ظهور الخصم C2، وإدارة المعارضة، وإخفاء التطورات في ساحة المعركة.
تشديد ضوابط الاتصال للمسؤولين، مع زيادة الاعتماد على الشبكات المغلقة والآمنة.

الاتجاهات الهجومية (الأنماط الحالية والتاريخية):

تنسيق IRGC/MOIS APT وعمليات الهاكتيفيست لمشاركة الأدوات والبنية التحتية.
استهداف الكيانات الحكومية والدفاعية الإسرائيلية والأمريكية والمؤسسات المالية ووسائل الإعلام والرعاية الصحية ومرافق المياه والبنية التحتية الحيوية في جميع أنحاء الشرق الأوسط والدول الغربية.
استخدام التصيد الاحتيالي، واستغلال VPN والأجهزة المتطورة، وقذائف الويب، والبرامج الضارة المخصصة (بما في ذلك الماسحات)، والأدوات التي تركز على تكنولوجيا المعلومات/تكنولوجيا المعلومات.

ومع استقرار الاتصال، يظل الانتقام غير المتماثل من خلال جبهات الوكلاء والقراصنة أمرًا مرجحًا للغاية.

الإمارات العربية المتحدة ودول مجلس التعاون الخليجي: هجمات مدعومة بالذكاء الاصطناعي وتنبيه مرتفع

وفي الأسبوع الذي سبق الضربات، كشفت الإمارات أنها أحبطت حملات إلكترونية منسقة مدعومة بالذكاء الاصطناعي تستهدف قطاعات حيوية.

ماذا:

محاولات التصيد الاحتيالي والبرامج الضارة وبرامج الفدية المعززة بالذكاء الاصطناعي ضد الأنظمة الحكومية والمؤسسات المالية.
تم تأكيد ما لا يقل عن 128 حادثة تهديد إلكتروني في أوائل عام 2026، مما أثر بشكل كبير على الإدارة الحكومية والبنوك والخدمات المالية.

عندما:

تم الكشف عنها علنًا في 22-23 فبراير 2026، قبل أيام من التصعيد في 27-28 فبراير، وسط ارتفاع أوسع في النشاط السيبراني الإقليمي.

كيف:

الهندسة الاجتماعية التكيفية، والحمولات الغامضة، وتغييرات البنية التحتية الآلية، ومحاولات التسلل إلى الشبكة.

وعلى الرغم من أن الإسناد لا يزال غير مؤكد، إلا أن التوقيت والحرفة يتفقان مع الجهات الفاعلة المتحالفة مع الدولة أو المرتبطة بالإرهاب التي تبحث في الدفاعات الإقليمية.

تهديدات إلكترونية أخرى

‍

وبحسب ما ورد تم اختراق تطبيق إيراني يستخدم لتتبع أوقات صلاة المسلمين، حيث تلقى المستخدمون إشعارات فورية مثيرة للقلق تحتوي على رسائل سياسية وعسكرية. ويُزعم أن الرسائل حثت أفراد القوات المسلحة على الانشقاق و «حماية مواطنيكم»، ووعدوا بالحماية في المقابل، بينما أعلن آخرون أن «المساعدة وصلت» و «حان وقت الحساب». يسلط الحادث الضوء على كيف يمكن للمنصات الرقمية المستخدمة على نطاق واسع وحتى التطبيقات الدينية أن تصبح أهدافًا للهجمات الإلكترونية ويمكن الاستفادة منها لنشر الدعاية أو الرسائل المزعزعة للاستقرار خلال فترات التوتر.

نشاط حملة هاكتيفيست (28 فبراير - 1 مارس 2026)

بين 28 فبراير و 1 مارس 2026، تمت المطالبة بأكثر من 150 حادثة اختراق في قنوات القرصنة المفتوحة التي تمت مراقبتها بواسطة خلاصات CloudSek في الشرق الأوسط. ويرتبط هذا النشاط بشكل واضح بالتصعيد الحالي الذي يشمل إسرائيل وفلسطين وإيران، ويهيمن عليه DDoS وتشويه المواقع الإلكترونية وعمليات خرق البيانات المزعومة ضد أهداف الحكومة والمالية والطيران والاتصالات وغيرها من أهداف البنية التحتية الحيوية في المنطقة.

في حين يتم الإبلاغ عن الإحالة ذاتيًا والتحقق الفني محدود لبعض المطالبات، فإن الحجم والتجميع المستهدف والرسائل المتداخلة تشير إلى حملات متعددة منسقة بشكل فضفاض بدلاً من الهجمات المعزولة لمرة واحدة.

مجموعات وحملات الهاكتيفيست الرئيسية

بين 28 فبراير و 1 مارس 2026، قامت مجموعات متعددة من الهاكتيفيين بإجراء أو ادعاء نشاط إلكتروني مدمر منسق يتماشى بشكل أساسي مع الروايات المؤيدة لإيران والمؤيدة لفلسطين. تضمنت غالبية العمليات هجمات DDoS وتعطيل مواقع الويب وادعاءات التشويه وتأكيدات تسرب البيانات والرسائل الدعائية المنسقة التي تستهدف إسرائيل والدول التي يُنظر إليها على أنها تدعم السياسة الإسرائيلية أو الأمريكية.

الجهات الفاعلة الموالية لإيران والمناهضة لإسرائيل

شبكة دينت/ شبكة دينيت V5 قاد حملات DDoS واسعة النطاق تستهدف البوابات الحكومية ومزودي الاتصالات والمطارات والمؤسسات المالية في جميع أنحاء البحرين وقطر والإمارات العربية المتحدة والكويت والمملكة العربية السعودية والولايات المتحدة، واصفًا النشاط بأنه انتقام من العدوان المتصور ضد إيران.
سيلهيت جانج SG1/سيلهيت جانج إس جي/مجهول سيلهيت نفذت هجمات DDoS ضد الحكومة وكيانات البنية التحتية في الشرق الأوسط، بما في ذلك أصول الشركات الإسرائيلية.
المقاومة السيبرانية الإسلامية ركز على بناء التحالفات وتنسيق الحملات، وأعلن عن التعاون مع الجهات الفاعلة الأخرى التي تعمل في مجال القرصنة الإلكترونية والتي تحمل علامة APT لتضخيم العمليات ضد إسرائيل والولايات المتحدة والدول المضيفة للقواعد العسكرية الأمريكية.

الجهات الفاعلة المنحازة المؤيدة لفلسطين والمناهضة لإسرائيل

أمة المنقذين هجمات DDoS المزعومة واختراق مواقع الويب وسرقة البيانات، بما في ذلك تعطيل وزارة التعليم الإسرائيلية والمطالبة بسرقة بيانات 21 جيجابايت ضد كيان سعودي خاص.
RipperSec أجرت حملات DDoS ضد الحكومة الإسرائيلية والأصول المتعلقة بالطائرات بدون طيار وأصدرت إعلانات تعطيل محددة زمنياً.
فريق دارك ستورم عمليات DDoS المزعومة ونشاط تسريب البيانات ضد الكيانات المالية الإسرائيلية، مع بعض الاستهداف غير المباشر في المملكة العربية السعودية.
دراجون فورس ماليزيا ركز في المقام الأول على رسائل التهديد ومحتوى التعبئة الموجه إلى البنية التحتية الإسرائيلية.
جوست برينسس/ذا جوستسيم تضخيم حملات #OpIsrael وتنسيق الرسائل عبر دول مجلس التعاون الخليجي وتعزيز التهديدات ضد المرافق الإسرائيلية والكيانات المجاورة للدفاع.
أشباح_عربية أصدرت بيانات تهديد واسعة النطاق تستهدف إسرائيل والولايات المتحدة والمملكة العربية السعودية والإمارات العربية المتحدة تحت العلامة التجارية #OpIsraelTeam.
نظام أخطاء بابايو وكيموس بلس أعلنت عن عمليات مخطط لها على نطاق واسع ضد إسرائيل والهند، ولكن بأدلة تقنية محدودة.

نشاط مناهض للأردن/ ضد قطر/مناهض لإيران

مجموعة هاندالا ادعى تعطيل البنية التحتية لمحطة الغاز الأردنية، مؤكدا الإغلاق على مستوى البلاد (لم يتم التحقق منه).
فريق BD المجهول استهدفت خدمات وزارة الداخلية القطرية عبر الإنترنت بنشاط DDoS، لتأطير الإجراءات حول المظالم الجيوسياسية.
فريق 404 كرو سايبر/Disrupt0r نفذت عمليات ضد أنظمة CCTV الإيرانية وكشفت عن نقاط ضعف في الويب، مع الإشارة أيضًا إلى أهداف إسرائيلية.

النمط العام

يظهر النشاط عبر المجموعات ما يلي:

الاعتماد الكبير على DDoS كتكتيك أساسي
مجموعات أهداف متداخلة عبر دول مجلس التعاون الخليجي وإسرائيل
الدعاية المنسقة وإشارات التحالف
مزج العلامة التجارية للهاكتيفيست مع روايات الجهات الفاعلة في مجال التهديد ذات القدرات العالية

تعكس الحملات الاضطرابات السيبرانية غير المنسقة والقائمة على السرد بدلاً من الحوادث المعزولة والمستقلة.

توزيع نوع الهجوم

‍

التركيز على الهدف الأساسي

‍

التوزيع القطاعي

‍

التوزيع المشترك لـ TTP والأدوات

‍

التأثير على تكنولوجيا المعلومات والنظم البيئية الرقمية في البلدان المعنية

العزلة الرقمية الإيرانية وإجهاد البنية التحتية

شهدت إيران اضطرابًا رقميًا شديدًا بعد فقدان الاتصال على نطاق واسع والنشاط السيبراني الحركي.

انهيار الاتصال: وبحسب ما ورد انخفضت حركة المرور على الإنترنت إلى حوالي 4٪ من المستويات العادية، مما قيد بشدة التجارة عبر الحدود والتدفقات المالية والعمليات عن بُعد.
تعطيل الخدمة الحكومية: أعاقت الانقطاعات عبر البوابات ومنصات الخدمة العامة تنسيق الرعاية الصحية والخدمات اللوجستية والاستمرارية الإدارية.
ضغط الإنترانت الوطني: واجهت أنظمة التوجيه المحلية و «الإنترنت الوطني» صعوبات في ظل ضغوط داخلية وخارجية مشتركة، مما ترك الخدمات الحيوية غير مستقرة.

ارتفاع بيئة التهديد في إسرائيل على الرغم من الموقف السيبراني القوي

في حين تحافظ إسرائيل على نظام بيئي متقدم للغاية للأمن السيبراني، أدى التصعيد إلى تكثيف الضغط السيبراني غير المتماثل.

التصيد الاحتيالي وسرقة بيانات الاعتماد: تستمر الحملات المرتبطة بإيران في استهداف المسؤولين والصحفيين والأكاديميين وشرائح القوى العاملة الهامة عبر بوابات تسجيل دخول مزيفة ومرفقات ضارة.
التركيز على البنية التحتية الحيوية: لا تزال المستشفيات وأنظمة المياه والمرافق الصناعية أهدافًا دائمة؛ وقد تم الكشف عن محاولات التسوية والتخفيف من حدتها ولكنها تشير إلى نية الخصم المستمرة.
التعرض للتكنولوجيا الفائقة: إن النظام البيئي المكثف للأمن السيبراني والتكنولوجيا المالية والشركات الناشئة في إسرائيل يجعله مرنًا وجذابًا بشكل رمزي لعمليات سرقة البيانات والتعطيل والابتزاز.

الولايات المتحدة والوجود الإقليمي المرتبط بحلف شمال الأطلسي

تزيد المشاركة العسكرية المباشرة والانتشار الواسع في الخليج من التعرض للمخاطر السيبرانية.

استهداف البنية التحتية الحيوية: لقد قامت شركات APT الإيرانية تاريخيًا بالتحقيق في بيئات المياه والطاقة والرعاية الصحية وأنظمة التحكم الصناعي في الولايات المتحدة باستخدام القوة الغاشمة وحشو أوراق الاعتماد واستغلال نقاط الضعف.
مخاطر سلسلة التوريد والمقاول: لا يزال موردو الدفاع ومشغلو الخدمات اللوجستية ومقدمو الاتصالات الساتلية والبحرية المرتبطون بالعمليات الإقليمية أهدافًا محتملة للتجسس والتعطيل.

دول الخليج (المملكة العربية السعودية، الإمارات العربية المتحدة، قطر، البحرين، الكويت)

تتعرض دول الخليج بشكل استراتيجي بسبب البنية التحتية للطاقة والمراكز المالية والوجود العسكري الأمريكي.

الاستهداف القطاعي: واجهت قطاعات الحكومة والنفط والغاز والبنوك والطيران والاتصالات حملات متطورة للتصيد الاحتيالي وبرامج الفدية والتعطيل في أوائل عام 2026.
التهديدات التي تدعم الذكاء الاصطناعي: تعمل زيادة استخدام الذكاء الاصطناعي التوليدي على تعزيز واقعية التصيد الاحتيالي ونطاق الاحتيال وفعالية الهندسة الاجتماعية لبرامج الفدية.
الاستجابة التنظيمية مقابل الثغرات: يتسارع الاستثمار السيبراني والرقابة، ومع ذلك لا تزال نقاط الضعف قائمة في تقسيم OT/ICS وإدارة المخاطر من طرف ثالث ونضج الاستجابة السريعة.

البلدان المتأثرة من الدرجة الثانية وتوقعات قطاع تكنولوجيا المعلومات

نظرة عامة على القنوات غير المباشرة

تظل البلدان غير المشاركة بشكل مباشر في الصراع مكشوفة من خلال الاعتماد غير المباشر على الاقتصاد والرقمي والبنية التحتية. تشمل القنوات غير المباشرة الرئيسية ما يلي:

أسواق الطاقة والسلع: يمكن أن يؤدي تقلب الأسعار وانقطاع العرض إلى تقييد الإنتاج الصناعي وزيادة تكاليف التشغيل وتحويل أولويات الإنفاق على تكنولوجيا المعلومات بعيدًا عن مبادرات التحول نحو المرونة وإدارة المخاطر.
سلاسل التوريد الرقمية: قد تواجه المؤسسات التي تعتمد على خدمات تكنولوجيا المعلومات الخارجية أو الاستضافة السحابية أو موردي الأمن السيبراني أو مزودي BPO في الشرق الأوسط وإسرائيل عدم استقرار الخدمة أو تأخر الجداول الزمنية للتسليم أو التعرض المتزايد لمخاطر الطرف الثالث.
البنية التحتية العالمية المشتركة: تمثل الأنظمة اللوجستية البحرية والجوية وشبكات الأقمار الصناعية ومسارات الكابلات البحرية والمناطق السحابية التي تخدم أو تعبر الشرق الأوسط ترابطًا منهجيًا. يمكن أن تؤدي الاضطرابات أو الاستهداف في هذه المراكز إلى تأثيرات متتالية خارج منطقة الصراع المباشرة.

Country/Region	Key Links to Middle East	Expected Cyber & IT Impact
India	Major importer of Middle Eastern energy; extensive IT/BPO service provision for Gulf and Israeli firms; growing defense and tech ties.	Heightened risk of DDoS, phishing, and extortion targeting Indian IT providers and financial institutions connected to Israeli/Gulf clients; potential attempts to compromise Indian cloud or data-center infrastructure as a pivot into regional networks.
EU (Germany, France, UK)	Hosts energy majors, banks, and industrial firms with significant Gulf and Israeli exposure; political backing for U.S./Israel varies but visible.	Surge in politically motivated DDoS, data leaks, and ransomware against banks, energy companies, and government portals seen as supportive of Israel/U.S.; increased disinformation operations to influence public opinion and policy.
Japan & South Korea	Key buyers of Middle Eastern oil and gas; technology vendors and shipbuilders supporting Gulf infrastructure and logistics.	Cyber-espionage against energy, shipping, and industrial firms; risk of ICS/OT compromise in projects linked to Gulf infrastructure; potential disruptions in maritime logistics IT platforms.
Turkey	Transit hub for energy pipelines and regional internet traffic; complex relations with Iran, Israel, and NATO.	Exposure of telecom and IXPs to probing and DDoS, potential compromise of hosting and VPN providers as staging grounds; risk of politically driven attacks by both pro- and anti-Iran/Israel hacktivist groups.

اتجاهات قطاع تكنولوجيا المعلومات العالمية تحت التصعيد

نمو برامج الفدية وابتزاز البيانات: تمزج الجهات الفاعلة في مجال التهديد بشكل متزايد بين الدولة القومية والدوافع الإجرامية، وتستخدم برامج الفدية وتسريب البيانات لتمويل العمليات وممارسة الضغط الجيوسياسي، مع اعتبار الشرق الأوسط نقطة ساخنة رئيسية.
عمليات محسّنة بالذكاء الاصطناعي: تُستخدم نماذج اللغات الكبيرة والذكاء الاصطناعي التوليدي للتصيد الاحتيالي وتخصيص البرامج الضارة والمعلومات المضللة، وهو أمر واضح بالفعل في الحملات الإقليمية ومن المتوقع أن يتوسع عالميًا.
استغلال الطرف الثالث والشبكات الخاصة الافتراضية: تسلط الهجمات المستمرة على شبكات VPN والأجهزة المتطورة الضوء على الحاجة إلى تقوية مسارات الوصول عن بُعد ومراقبة البنية التحتية للتغييرات غير المصرح بها أو الأبواب الخلفية.

توقعات التهديدات الخاصة بقطاع معين

الطاقة والبنية التحتية الحيوية (النفط والغاز والطاقة والمياه)

التركيز الإقليمي: يتم استهداف البنية التحتية للطاقة في إيران وإسرائيل والخليج بشكل كبير بسبب أهمية السوق الاستراتيجية والعالمية.
التهديدات: هجمات ICS/OT، والماسحات المقنعة في صورة برامج الفدية، وانتحال نظام تحديد المواقع العالمي (GPS) الذي يؤثر على خطوط الأنابيب والعمليات البحرية، وهجمات DDoS ضد منصات التداول/الخدمات اللوجستية.
التداعيات العالمية: تواجه شركات الطاقة والمرافق خارج المنطقة مخاطر متزايدة للتجسس وبرامج الفدية في حالة اختراق أنظمة ICS.

الحكومة والدفاع

الأهداف: وزارات الدفاع والداخلية والشؤون الخارجية والاستخبارات في إسرائيل وإيران والولايات المتحدة ودول الخليج.
التكتيكات: حملات APT باستخدام التصيد الاحتيالي وسرقة بيانات الاعتماد وقذائف الويب والبرامج الضارة المخصصة؛ يقوم نشطاء القرصنة بتضخيم حملات DDoS وحملات التسريب لتحقيق التأثير السياسي.

الخدمات المالية والتكنولوجيا المالية

المراكز الإقليمية: تواجه الإمارات العربية المتحدة والمملكة العربية السعودية وقطر وإسرائيل محاولات التصيد الاحتيالي وبرامج الفدية المدعومة بالذكاء الاصطناعي ومحاولات التسلل على الأنظمة المصرفية وأنظمة الدفع.
أسواق الدرجة الثانية: قد تشهد البنوك الأوروبية والآسيوية المرتبطة بتجارة الشرق الأوسط حملات DDoS وسرقة البيانات ذات الدوافع السياسية.

الرعاية الصحية والخدمات العامة

التركيز الإقليمي: استهداف المستشفيات والمراكز الطبية في إسرائيل والدول المجاورة من قبل الجهات الفاعلة المرتبطة بإيران؛ يمكن للهجمات الناجحة أن تعطل الاستجابة للطوارئ والروح المعنوية.
المنظمات الإنسانية: قد تواجه المنظمات غير الحكومية في مناطق النزاع سرقة البيانات والمعلومات المضللة والهجمات الإلكترونية المستهدفة ضد الموظفين والمستفيدين.

مزودو تكنولوجيا المعلومات والسحابة والاتصالات

الموفرون الإقليميون: قد يتم استهداف مزودي خدمة الإنترنت والمنصات السحابية في إيران وإسرائيل وتركيا والخليج بشكل مباشر أو استخدامها كنقطة انطلاق لهجمات أوسع.
الموفرون العالميون: تواجه شركات Hypercalers ومزودي الخدمات المُدارة الذين يخدمون أعباء العمل في الشرق الأوسط مخاطر متزايدة حول الهوية وطائرات التحكم ووحدات التحكم الإدارية.

توصيات خاصة بالقطاع

الطاقة والبنية التحتية الحيوية

تعزيز تجزئة تكنولوجيا المعلومات - التكنولوجيا التشغيلية؛ الحد بشكل صارم من الوصول عن بُعد إلى بيئات ICS.
قم بتطبيق اكتشاف الأعطال على متغيرات العمليات ومحطات العمل الهندسية لاكتشاف النشاط المشبوه.

الخدمات المالية والمصرفية

تعزيز أنظمة مكافحة الاحتيال ومراقبة المعاملات ضد الهندسة الاجتماعية الناتجة عن الذكاء الاصطناعي وهجمات BEC.
قم بتنسيق التدريبات المنضدية على مستوى القطاع لمحاكاة حملات الفدية أو DDoS المرتبطة بإيران.

الرعاية الصحية

حدد أولويات تجزئة الشبكة للأنظمة السريرية والنسخ الاحتياطية الآمنة للسجلات الإلكترونية والتصوير.
تطوير إجراءات احتياطية يدوية للرعاية الحرجة أثناء الانقطاعات الإلكترونية.

تكنولوجيا المعلومات والسحابة وموفرو خدمات المشاريع الصغيرة والمتوسطة

قم بتقوية خطط الإدارة وفرض الوصول في الوقت المناسب/الكافي للمسؤولين.
قم بتضمين الإبلاغ الصريح عن الحوادث ومشاركة معلومات التهديدات وبنود الاستجابة المشتركة في عقود العملاء والموردين.

الاستعداد التنظيمي والتدريب

قم بإجراء حملات توعية حول التصيد الاحتيالي وعمليات الاحتيال الناتجة عن الذكاء الاصطناعي والهندسة الاجتماعية المزيفة.
قم بإجراء تمارين الفريق الأحمر والفريق الأرجواني لمحاكاة تكتيكات APT الإيرانية وتكتيكات الهاكتيفيست للتحقق من قدرات الكشف والاستجابة.

الخاتمة

توضح الفترة من 28 فبراير إلى 1 مارس 2026 أ بيئة تهديدات سيبرانية مترابطة للغاية، حيث:

تتقارب الجهات الفاعلة في مجال القرصنة الإلكترونية والإجرامية والدولة القومية، وتستفيد من هجمات DDoS وبرامج الفدية وتسريب البيانات والهجمات المدعومة بالذكاء الاصطناعي.
تواجه البلدان المعنية بشكل مباشر اضطرابًا فوريًا في الأنظمة الحكومية والمالية والطاقة والرعاية الصحية والدفاع، بينما تتأثر البلدان من الدرجة الثانية من خلال سلاسل التوريد وأسواق الطاقة والبنية التحتية المشتركة.
يجب أن تتبنى المنظمات استراتيجيات المرونة الإلكترونية الشاملةتجمع بين التصلب التقني والدفاعات الخاصة بكل قطاع والتنسيق عبر الحدود واستعداد الموظفين للتخفيف من المخاطر المباشرة وغير المباشرة.

يوضح المشهد المتطور أن العمليات الإلكترونية أصبحت الآن المكون الأساسي للتصعيد الجيوسياسي، مما يتطلب المراقبة المستمرة وتخطيط الاستجابة التكيفية والتعاون الدولي الاستباقي لحماية النظم الإيكولوجية الرقمية الحيوية.

المراجع

‍

CloudSEK Threat Intelligence

CloudSEK's Threat Intelligence team, a group of cybersecurity experts led by Koushik Sivaraman, primarily focuses on the research and analysis of threat intelligence related to threat actors, malware, vulnerability/ exploitation, data breach incidents, etc.

لم يتم العثور على أية عناصر.