حمله بچه گربه ملوس به یک نانوایی هلندی!

چگونه هوش مصنوعی ردپای هکرهای جمهوری اسلامی را در کسب‌وکارهای کوچک اروپایی پیدا کرد
حمله بچه گربه ملوس به یک نانوایی هلندی!
تهدید امنیت پیشرفته

تحلیل داده‌های افشاشده از یک واحد سایبری سپاه پاسداران نشان می‌دهد که هکرها برای پنهان کردن هویت خود و اجاره سرورهای مورد نیاز برای حملات، از هویت یک نانوایی واقعی در شهر هارلم هلند سو استفاده کرده‌اند. این کشف که جزئیات یک عملیات سایبری گسترده را برملا می‌کند، با کمک هوش مصنوعی و در کمتر از یک ساعت ممکن شده‌است.

افشای یک عملیات سایبری پیچیده

در پاییز ۲۰۲۵ مجموعه‌ای گسترده از اسناد و نمونه‌های عملیاتی مرتبط با یک بازیگر تهدید سایبری (APT) ایرانی منتشر شد که به‌سرعت در جامعه امنیت سایبری و رسانه‌ها موجی از واکنش‌ها ایجاد کرد. این مجموعه، که توسط گروه یا حسابی با اسم KittenBusters منتشر شد، شامل فایل‌های درونی، گزارش‌های روزانه، کدهای منبع، لاگ‌های سرور، و اسکرین‌شات‌های گفتگوهای داخلی می‌شود؛ اسنادی که در مجموع ساختار، روش‌ها و حوزه عمل یک واحد سایبری وابسته به سازمان اطلاعات سپاه پاسداران (IRGC-IO) را آشکار می‌سازند؛ مشهورترین یگان سایبری ایران، دایره ۴۰، واحد ۱۵۰۰ یا آن طور که جهان آن را می‌شناسد: «بچه‌گربه ملوس».

رازنت تاکنون دو گزارش از این مجموعه را منتشر کرده‌است:

اسناد افشاشده شامل گزارش حملات سایبری علیه دولت‌ها و شرکت‌ها، گزارش‌های کاری روزانه خود هکرها، کد منبع کامل بدافزار «بلاچاو» (BellaCiao)، اطلاعات ورود به زیرساخت‌ها و فهرست سرورها، ارتباطات داخلی و فهرست اهداف در کشورهای مختلف بود. این حجم از اطلاعات، هرچند به گستردگی افشاگری‌های بزرگی مانند اسناد پاناما نبود، اما برای یک عملیات اطلاعاتی، انتشار تصاویر کارکنان و رمزهای عبور زیرساخت‌ها در یک پلتفرم عمومی، شکستی بزرگ و افشاگرانه محسوب می‌شود.

از تهران تا هارلم؛ سرقت هویت یک نانوایی

یکی از تکان‌دهنده‌ترین جنبه‌های این افشاگری، روشی بود که هکرها برای پنهان کردن ردپای خود به کار گرفته بودند. فردی در تهران برای اجاره سرورهای مورد نیاز جهت عملیات هک، به یک هویت و آدرس معتبر نیاز داشت تا بتواند شرکت میزبان سرور را فریب دهد. راه‌حل آن‌ها، سرقت هویت یک نانوایی واقعی در شهر هارلم هلند بود؛ کسب‌وکاری که مردم محلی از آن نان و ساندویچ می‌خریدند و از این ماجرا هیچ اطلاعی نداشتند.

این آدرس جعلی بر روی ۳۱ فاکتور مربوط به اجاره سرورهای تهاجمی بین سال‌های ۲۰۲۳ تا ۲۰۲۵ ظاهر شد. هکرها با ساختن یک هویت جعلی به نام «مایا بوسمن» و با استفاده از آدرس این نانوایی، ایمیل و شماره تلفن، توانسته بودند سرورهایی را از شرکت میزبانی «Edis Global» اجاره کنند. این اقدام نشان‌دهنده عمق فعالیت‌های فریبکارانه برای پنهان‌سازی زیرساخت‌های عملیاتی بوده است.

نقش هوش مصنوعی در تحلیل داده‌ها

هنک ون اس، پژوهشگر امنیت سایبری هلندی در گزارشی که منتشر کرده (بایگانی)، توضیح می‌دهد که چگونه با استفاده از هوش مصنوعی توانسته است این ارتباطات پیچیده را کشف کند. او می‌نویسد که دلیل موفقیتش نه هوش شخصی، بلکه توانایی هوش مصنوعی در انجام کارهایی است که برای انسان زمان‌بر و دشوار است؛ کارهایی مانند بررسی متقابل فایل‌ها، شناسایی الگوها در صفحات گسترده و اتصال نقاط مختلف در منابع گوناگون.

او در اولین قدم، لینک مخزن داده‌های افشاشده در گیت‌هاب را به یک ابزار هوش مصنوعی به نام «Claude Code» داد و از آن خواست تا مقدمه‌ای از مخزن داده را تحلیل کرده و اهداف، پرسنل، ابزارها و زیرساخت‌های عملیات را استخراج کند. هوش مصنوعی به سرعت داده‌ها را دانلود و تحلیل کرد و مشخص کرد که اهداف اصلی در خاورمیانه، ترکیه، امارات متحده عربی، قطر، افغانستان و اسرائیل قرار دارند. همچنین هویت فرد کلیدی عملیات، عباس رهروی و ابزارهای مورد استفاده مانند بدافزار بلاچاو و چارچوب CYCLOPS شناسایی شدند. این کار که تنها پنج دقیقه زمان برد، یک نقشه کلی از داده‌های پیچیده را پیش از آغاز تحقیقات عمیق فراهم کرد.

ردیابی پول از طریق رمزارز

مرحله بعدی تحقیق، بررسی فاکتورهای افشاشده از شرکت میزبان سرور بود. با بارگذاری فایل‌های CSV این فاکتورها در ابزار هوش مصنوعی و درخواست برای تحلیل هویت مشتریان و الگوهای پرداخت، نتایج قابل توجهی به دست آمد. هوش مصنوعی هویت جعلی «مایا بوسمن» را با آدرس نانوایی در هارلم، ایمیل [email protected] و یک شماره تلفن هلندی شناسایی کرد که به ۳۱ فاکتور و یک آدرس آی‌پی سرور (151.236.28.129) مرتبط بود.

تحلیل بیشتر نشان داد که این تنها هویت جعلی مورد استفاده نبوده است. هویت‌های جعلی دیگری در روسیه (میخائیل کلاشنیکوا با بیش از ۴۰ فاکتور)، اسرائیل (شلدون بایر و دیگران با بیش از ۲۵ فاکتور) و مجارستان (لویس کراس با ۱۲ فاکتور) نیز ساخته شده بودند. نکته مهم این بود که تمام این پرداخت‌ها از طریق «کریپتوموس» (Cryptomus)، یک درگاه پرداخت ارز دیجیتال، انجام شده بود. با یک جستجوی ساده در وب، هوش مصنوعی دریافت که دولت کانادا در اکتبر ۲۰۲۵، کریپتوموس را به دلیل عدم گزارش ۷۵۵۷ تراکنش مشکوک مرتبط با ایران در بازه زمانی ژوئیه تا دسامبر ۲۰۲۴، مبلغ ۱۷۶ میلیون دلار جریمه کرده است؛ یعنی دقیقا در همان دوره‌ای که فاکتورهای هکرها پرداخت می‌شد.

گستره اهداف و قربانیان چه کسانی بودند؟

با ترکیب اطلاعات به دست آمده از فاکتورها و مخزن گیت‌هاب، تصویر کاملی از ابعاد عملیات این گروه هکری به دست آمد. حوزه هدف‌گیری آن‌ها بسیار گسترده بود و شامل موارد زیر می‌شد:

  • ایران (داخلی): بیش از ۱۰۰ سرور مایکروسافت اکسچنج متعلق به دانشگاه‌ها، وزارتخانه‌های دولتی و شرکت‌های مخابراتی. هدف اصلی ردیابی مخالفان حکومت عنوان شده است.
  • یونان: بیش از ۵۰۰ مدخل شامل پارلمان، شرکت‌های کشتیرانی و سازمان‌های دولتی که نشان‌دهنده علاقه استراتژیک به تحولات مدیترانه است.
  • ترکیه: وزارت امور خارجه، شهرداری‌ها و پیمانکاران دفاعی با هدف نظارت بر یک رقیب منطقه‌ای.
  • عربستان سعودی و کویت: بیمارستان‌ها، شرکت‌های ساختمانی و بخش انرژی با هدف جمع‌آوری اطلاعات از کشورهای حاشیه خلیج فارس.
  • کانادا: بیش از ۷۰۰ آدرس آی‌پی برای اسکن خودکار و یافتن سیستم‌های آسیب‌پذیر جهت بهره‌برداری در آینده.

روش‌های حمله؛ ساده اما مؤثر

روش کار این هکرها پیچیدگی فنی خارق‌العاده‌ای نداشت، بلکه بر صبر و بهره‌برداری از ضعف‌های امنیتی رایج استوار بود. آن‌ها ابتدا سرورهای مایکروسافت اکسچنج را که هنوز آسیب‌پذیری «ProxyShell» را برطرف نکرده بودند، پیدا می‌کردند. این آسیب‌پذیری که مدت‌هاست شناسایی شده، به دلیل عدم به‌روزرسانی سیستم‌ها توسط بسیاری از سازمان‌ها، همچنان یک نقطه ضعف بزرگ محسوب می‌شود.

پس از یافتن سرور آسیب‌پذیر، هکرها یک «وب‌شل» یا در پشتی (Backdoor) برای دسترسی مداوم نصب می‌کردند. سپس اطلاعات ورود کاربران (نام کاربری و رمز عبور) را به سرقت برده، ایمیل‌ها و اسناد را دانلود کرده و دسترسی خود را برای ماه‌ها یا حتی سال‌ها حفظ می‌کردند. این روش نشان می‌دهد که موفقیت آن‌ها بیش از آنکه مدیون تکنیک‌های پیشرفته باشد، حاصل قصور سازمان‌ها در رعایت اصول اولیه امنیت سایبری بوده است.

محدودیت‌های هوش مصنوعی و نقش تحلیل انسانی

هنک ون اس تأکید می‌کند که با وجود سرعت و دقت هوش مصنوعی، این ابزار به تنهایی قادر به انجام چنین تحقیقی نبود. هوش مصنوعی نمی‌توانست فایل‌های فشرده (ZIP) را باز و محتوای آن‌ها را تحلیل کند، یا اسناد پی‌دی‌اف را که به صورت تصویر ذخیره شده بودند، بخواند. درک عمیق و ظرایف متون فارسی نیز نیازمند تخصص انسانی است.

علاوه بر این، وظایف کلیدی مانند طرح پرسش‌های استراتژیک، راستی‌آزمایی اطلاعات (مانند تأیید وجود فیزیکی نانوایی از طریق نقشه گوگل)، درک زمینه ژئوپلیتیکی ماجرا، قضاوت در مورد نحوه انتشار اطلاعات و در نظر گرفتن ملاحظات اخلاقی، همگی بر عهده تحلیلگر انسانی باقی می‌ماند. این تحقیق نمونه‌ای از همکاری مؤثر میان تفکر استراتژیک انسان و قدرت محاسباتی هوش مصنوعی است.

پیامدهای یک افشاگری داخلی

این افشاگری نشان داد که چگونه یک گروه هکری وابسته به نهادهای اطلاعاتی ایران، با استفاده از روش‌های ساده اما مؤثر، طیف وسیعی از اهداف بین‌المللی و داخلی را مورد حمله قرار داده است. درز اطلاعاتی با این جزئیات، از جمله هویت کارکنان، از درون این مجموعه صورت گرفته که نشان‌دهنده وجود نارضایتی شدید در داخل این واحد اطلاعاتی است. این اتفاق ضربه‌ای جدی به امنیت عملیاتی (Operational Security) این گروه وارد کرده و اعتبار و کارایی آن را زیر سؤال برده است.

برای صاحبان نانوایی در هارلم نیز، این ماجرا یک دردسر ناخواسته بود. کسب‌وکار آن‌ها بدون هیچ اطلاعی به بخشی از زیرساخت یک عملیات جاسوسی و هکری بین‌المللی تبدیل شده بود. این اتفاق نشان می‌دهد که چگونه سرقت هویت در دنیای دیجیتال می‌تواند پیامدهایی فراتر از کلاهبرداری‌های مالی داشته باشد و زندگی افراد و مشاغل عادی را تحت تأثیر قرار دهد.