شنّت مجموعة القراصنة المعروفة بـ”مادي واتر” (MuddyWater) هجومًا سيبرانيًا واسع النطاق استهدف أكثر من مئة كيان حكومي ودبلوماسي في دول الشرق الأوسط وشمال أفريقيا، معتمدة على النسخة الأحدث من ثغرة “فينيكس” (Phoenix)، بحسب تقرير تقني نشره موقع “بليبينغ كومبيوتر” وتحليلات شركة الأمن السيبراني Group-IB.
بدأت سلسلة الهجمات في أغسطس/آب بحملة تصيّد احتيالي انطلقت من حساب مخترق قبل أن تغمر المجموعة صناديق البريد في مؤسسات دولية وحكومية برسائلٍ خبيثة، ما أدّى إلى تعطّل خوادم حكومية حساسة وإصابات مباشرة في “السفارات والبعثات الدبلوماسية ووزارات الخارجية والقنصليات”.
اتُهمت “مادي واتر” بارتباطها بجهات حكومية إقليمية، وتُعرف أيضًا بأسماء عدة من بينها “ستاتيك كِتِن” (Static Kitten) و”ميركوري” (Mercury) و”سييد وورم” (SeedWorm)، وتركّز عمليّاتها منذ سنوات على استهداف البُنى السلطوية والأمنية والمؤسسات المرتبطة بمحاور التطبيع والهيمنة.
اعتمد الهجوم تقنيات تقليدية متطورة ومحوّلة، حيث استُخدمت مستندات “وورد” مزروعة بأكواد ماكرو معطوبة—تقنية أُغلقت رسميًا من قِبل “مايكروسوفت” لكنها لا تزال قابلة للاستغلال عبر مسارات التفاف—لجمع “معلومات البنى الداخلية” مثل أسماء النطاقات ومعرّفات الأجهزة وبيانات المستخدمين. كما استُخدمت أداة مخصّصة لسرقة بيانات المتصفحات لاستخراج المحتوى المخزّن في متصفحات مثل كروم وأوبرا وبريف وإيدج.
تثبت هذه الحملة، وفق الخبراء، أن الفضاء السيبراني لا يزال ساحة اشتباك مفتوحة وقادرة على ضرب نقاط الضعف في منظومات رسمية تبدو متنمّرة على السطح، وأن استهداف بنيات “تقييد إرادة الشعوب” يمكن أن يُعيد توازن الردع ويُظهر هشاشة تفوق الخصم المفترض.
وقال باحثون في “Group-IB” إن توقيت الهجمة وطريقتها يعكسان قدرة مجموعة منسقة على تنفيذ هجمات متوازية بعائد استخباراتي كبير، محذرين من استمرار عمليات التصيّد والاستهداف عبر قنوات تبدو مؤمنة وظاهرية قانونية.
تبقى التحقيقات جارية لتحديد مدى الاختراقات وشموليتها، بينما تحث شركات الأمن السيبراني والمؤسسات المتأثرة على تعزيز إجراءات الحماية وإغلاق مسارات الاستغلال المعروفة، خصوصًا مسارات ما تزال تعتمد على ماكروات “وورد” وتقنيات سرقة الجلسات المخزنة في المتصفحات.
