کراد استرایک در گزارشی که فوریه ۲۰۲۶ منتشر کرد، تصویری از تهدیدات سایبری سال گذشته ارائه می‌دهد که در آن حمله سایبری دیگر لزوما با نصب یک بدافزار، فایل مشکوک یا هشدار کلاسیک آنتی‌ویروس شروع نمی‌شود. در روایت این گزارش، مهاجم مدرن بیشتر از آنکه «در را بشکند»، با کلید وارد می‌شود؛ نمونه چنین عملیاتی را چند هفته گذشته در حمله جمهوری اسلامی به خبرنگاران ایرانی دیدیم.

این تغییر فقط یک جزئیات فنی نیست. کراد استرایک از «سال مهاجم گریزپا» حرف می‌زند که به جای ساختن سر و صدا، در مسیرهای مجاز حرکت می‌کند. یکی از مهم‌ترین عددهای گزارش کراد استرایک زمان «breakout» است؛ یعنی فاصله میان دسترسی اولیه مهاجم و حرکت جانبی او به بخش‌های دیگر شبکه. این زمان در جرایم الکترونیکی (eCrime) به‌طور متوسط به ۲۹ دقیقه رسیده و سریع‌ترین مورد ثبت‌شده فقط ۲۷ ثانیه بوده است. به زبان ساده، اگر مدل دفاعی یک سازمان هنوز بر پایه بررسی دستی هشدارها، جلسه اضطراری، تحلیل لاگ‌ها و تصمیم‌گیری انسانی بنا شده باشد، در برابر چنین سرعتی عملا عقب است.

این عددها برای کشوری مثل ایران اهمیت مضاعف دارد. بخش بزرگی از زیرساخت دیجیتال ایران، چه در دولت و چه در بخش خصوصی، با ترکیبی از سامانه‌های قدیمی، سرویس‌های داخلی، پیمانکاران متعدد، دسترسی‌های پراکنده و کنترل امنیتی نامتوازن کار می‌کند. در چنین فضایی، مهاجمی که بتواند یک حساب معتبر یا یک پنل مدیریتی را به دست بیاورد، لزوما نیازی به «بدافزار عجیب» ندارد. مسیر از قبل ساخته شده است و کافی است وارد شود.

پایان امنیت بدافزارمحور

گزارش کراد استرایک می‌گوید ۸۲ درصد شناسایی‌ها در سال ۲۰۲۵ بدون بدافزار (malware-free) انجام شده‌اند. به عبارتی، در بخش بزرگی از حملات، مهاجم از بدافزار کلاسیک استفاده نکرده، بلکه به اعتبارنامه معتبر، سرویس‌های SaaS و سامانه‌های احراز هویت دسترسی داشته است.

این همان نقطه‌ای است که نگاه سنتی به امنیت را فرسوده می‌کند. اگر امنیت فقط روی فایل مخرب یا آنتی‌ویروس endpoint متمرکز باشد، بخش مهمی از واقعیت جدید را نمی‌بیند. مهاجم می‌تواند با یک حساب Microsoft 365، یک توکن نشست، یک دسترسی OAuth، یک ابزار مدیریت از راه دور یا حتی یک مخزن کد آلوده وارد زنجیره شود و در ظاهر، رفتاری شبیه کاربر واقعی داشته باشد.

کراد استرایک از افزایش ۸۹ درصدی حملات بازیگران مجهز به هوش مصنوعی (AI-enabled) نسبت به سال قبل حرف می‌زند. اما نکته مهم این است که هوش مصنوعی در بیشتر موارد هنوز «تکنیک کاملا جدید» خلق نکرده و فقز تکنیک‌های قدیمی را سریع‌تر، ارزان‌تر و مقیاس‌پذیرتر کرده است.

این یعنی خطر اصلی هوش مصنوعی در سال ۲۰۲۵، بیشتر از آنکه شبیه ربات‌های خودمختار هالیوودی باشد، شبیه صنعتی‌شدن مهندسی اجتماعی است. مهاجم می‌تواند برای هر هدف، پیام مناسب‌تر بسازد؛ برای هر زبان، متن طبیعی‌تر تولید کند؛ و برای هر نقش سازمانی، سناریوی قابل‌باورتری بچیند. در فضای فارسی‌زبان، این موضوع اهمیت زیادی دارد؛ چون تا چند سال قبل، بسیاری از حملات فیشینگ به خاطر زبان بد، ترجمه ماشینی یا لحن غیرطبیعی قابل تشخیص بودند. با ابزارهای جدید، این نشانه‌ها کم‌رنگ‌تر می‌شوند.

ایران در کجای این تصویر است؟

کراد استرایک در نام‌گذاری خود از پسوند KITTEN برای بازیگران مرتبط با ایران استفاده می‌کند و در این گزارش به IMPERIAL KITTEN اشاره شده است؛ بازیگری که در نوامبر ۲۰۲۵ عملیات فیشینگ اعتبارنامه علیه کاربران Microsoft 365 در اسرائیل انجام شد. در این عملیات از کیت EvilGinx2 و روش AiTM یا «مهاجم در میانه» استفاده شده است که می‌تواند نشست معتبر کاربر را دور بزند و حتی در برخی سناریوها احراز هویت چندعاملی را بی‌اثر کند.

اهمیت IMPERIAL KITTEN در نوع حمله است. در این روایت با هدف‌گیری هویت ابری و سوءاستفاده از اعتماد کاربر به صفحه ورود مایکروسافت عمل می‌شود. این همان مسیری است که گزارش کراد استرایک در سطح جهانی توصیف می‌کند: عبور از endpoint به سمت identity، SaaS و cloud.

تهدیدهای وابسته به جمهوری اسلامی یا مرتبط با ایران را نباید فقط در قالب بدافزارهای اندرویدی، RATهای کلاسیک یا فایل‌های آلوده دید. همان‌طور که تجربه کارزارهای فیشینگ علیه روزنامه‌نگاران، فعالان و کاربران ایرانی هم نشان داده، حساب کاربری و هویت دیجیتال امروز یکی از اصلی‌ترین میدان‌های عملیات است.

چین، روسیه و کره شمالی؛ سه مدل متفاوت تهدید

گزارش کراد استرایک درباره چین، روسیه و کره شمالی نیز تصویری از سه مدل متفاوت عملیات ارائه می‌دهد. بازیگران مرتبط با چین بیشتر روی دستگاه‌های edge مثل VPN، فایروال و گیت‌وی تمرکز کرده‌اند. همان نقطه‌هایی که معمولا بیرون از دید کامل EDR قرار دارند، اما دروازه ورود به شبکه‌اند. روسیه، به‌ویژه در زمینه اوکراین و ناتو، همچنان با ترکیبی از عملیات جاسوسی، فیشینگ، سوءاستفاده از سرویس‌های معتبر و حتی ابزارهای مبتنی بر مدل‌های زبانی حرکت می‌کند.

کره شمالی هم در گزارش با سرقت بزرگ رمزارزی و عملیات‌های مرتبط با استخدام جعلی و نفوذ به شرکت‌ها برجسته شده است. وجه مشترک همه این‌ حمله‌ها، مسیرهای قابل اعتمادشان است. دیگر فقط دستگاه کاربر نهایی هدف نیست و شبکه، هویت، پیمانکار، پلتفرم هوش مصنوعی و زنجیره نرم‌افزاری همگی به سطح حمله تبدیل شده‌اند.

گزارش ۲۰۲۶ کراد استرایک یک پیام ساده دارد: میدان نبرد سایبری از فایل آلوده به هویت معتبر منتقل شده است. برای کاربران، این یعنی مراقبت از حساب‌ها، نشست‌ها، لینک‌های ورود و پیام‌های به‌ظاهر عادی مهم‌تر از همیشه است. برای سازمان‌ها، یعنی امنیت باید از endpoint فراتر برود و هویت، ابر، SaaS، زنجیره تأمین و رفتار کاربر را همزمان ببیند. و برای جامعه‌ای مثل ایران، یعنی سرکوب دیجیتال، جاسوسی سایبری و جرم سایبری را باید در یک منظومه مشترک فهمید؛ منظومه‌ای که در آن کنترل دسترسی و نبود شفافیت، خودشان به ابزار تهدید تبدیل می‌شوند.