این گزارش، بخش نخست از یک پرونده دو قسمتی درباره فعالیت‌های سایبری جمهوری اسلامی در جنگ ۴۰روزه است؛ پرونده‌ای که در قسمت اول، به آماده‌سازی، پیش‌موقعیت‌گیری و نفوذ پیش از جنگ می‌پردازد و در قسمت دوم، گسترش عملیات سایبری به هک و افشا، تخریب، عملیات نفوذ سایبری و تهدید فیزیکی پس از آغاز جنگ را بررسی می‌کند (لینک بخش دوم).

در روزها و هفته‌های پس از آغاز جنگ، مجموعه‌ای از گزارش‌های امنیتی تصویر روشن‌تری از یک واقعیت مهم ارائه کرد: جمهوری اسلامی وارد میدان سایبری از نقطه صفر نشده بود. بخشی از قابلیت‌ها پیش از جنگ فعال بود. آنچه پس از عملیات «خشم حماسی» آشکار شد، بیشتر شبیه فعال شدن ظرفیت‌هایی بود که پیش‌تر ساخته، آزمایش و در برخی نقاط مستقر شده بودند: شبکه‌ای از شناسایی زیرساخت‌ها، فیشینگ هدفمند، بدافزارهای جاسوسی، دسترسی‌های احتمالی در سامانه‌های حساس، زیرساخت‌های میزبانی مشترک و عملیات نفوذی که پیش از شلیک نخستین موشک، بخشی از میدان را آماده کرده بود.

حمله نظامی می‌تواند در چند ساعت آغاز شود، اما جنگ سایبری معمولا چنین نیست. برای اینکه یک بازیگر بتواند در زمان بحران به شبکه‌های دولتی، شرکت‌های هوانوردی، پیمانکاران دفاعی، سامانه‌های انرژی، دوربین‌های متصل به اینترنت یا زیرساخت‌های ابری فشار وارد کند، باید پیش‌تر نقشه هدف‌ها را ساخته باشد. باید بداند کدام سامانه‌ها در معرض اینترنت‌اند، کدام آسیب‌پذیری‌ها هنوز وصله نشده‌اند، چه کسانی در سازمان هدف به استخدام، جلسه کاری یا نرم‌افزار تخصصی حساس‌اند، و کدام مسیرهای میزبانی و فرماندهی و کنترل می‌توانند مدتی زیر رادار بمانند.

این جنگ دیجیتال البته یک‌طرفه نبود. در میانه جنگ، گزارش‌هایی درباره استفاده آمریکا از ابزارهای سایبری و عملیات فریب در جریان عملیات میدانی در ایران منتشر شد؛ از جمله ادعایی درباره به‌کارگیری پگاسوس برای ارسال پیام‌های جعلی به مقام‌های جمهوری اسلامی و عوامل سپاه در جریان عملیات نجات خلبان آمریکایی. همچنین در همان روزهای نخست گزارش‌هایی از نیویورک تایمز و فایننشال تایمز منتشر شد که در حمله به راس ساختار فرماندهی جمهوری اسلامی نیز ترکیبی از داده‌های شهری، دسترسی احتمالی به دوربین‌های ترافیکی، تحلیل الگوی رفت‌وآمد، اطلاعات سیگنالی و منابع انسانی برای ساختن تصویر عملیاتی و تعیین زمان حمله به کار گرفته شده‌بود.

با این حال، تمرکز این گزارش بر سمت جمهوری اسلامی است؛ بر اینکه تهدیدهای سایبری پیشرفته وابسته یا همسو با آن چگونه پیش از تشدید آشکار جنگ، میدان سایبری را آماده کرده بودند.

نقشه‌ای که پیش از حمله کشیده شده‌بود

یکی از مهم‌ترین نشانه‌ها، شناسایی پیشینی زیرساخت‌های کشورهای خلیج فارس بود. ایده اصلی ساده اما مهم است: اگر هم‌زمان با جنگ، کشورهایی مانند امارات، عربستان سعودی، کویت، قطر و اردن، و در سطحی گسترده‌تر اسرائیل، هدف فشار سایبری یا تهدید زیرساختی قرار می‌گیرند، باید پرسید آیا این هدف‌ها در همان روزهای جنگ انتخاب شدند یا پیش‌تر پروفایل شده بودند؟

چند گزارش امنیتی منتشرشده پس از آغاز جنگ، احتمال دوم را تقویت کرد. در این گزارش‌ها، به شناسایی یا نفوذ پیشین در سامانه‌های مرتبط با هوانوردی، دولت، آب، انرژی، دوربین‌های IP، سامانه‌های صنعتی و شبکه‌های دولتی در منطقه اشاره شده است. حتی اگر درباره برخی جزئیات اولیه این گزارش‌ها باید احتیاط کرد، خود الگو مهم است: عملیات سایبری جمهوری اسلامی فقط واکنش فوری به حملات آمریکا و اسرائیل نبود؛ بخشی از آن بر پایه نقشه‌ای بنا شده بود که پیش‌تر شکل گرفته بود.

این نوع پیش‌موقعیت‌گیری، در جنگ سایبری ارزش عملیاتی بالایی دارد. بازیگر مهاجم لازم نیست در لحظه بحران تازه دنبال آسیب‌پذیری بگردد. کافی است دسترسی‌ها، اطلاعات و زیرساخت‌هایی را که پیش‌تر آماده کرده، فعال‌تر کند یا از آنها برای تهدید، اختلال، جاسوسی و فشار روانی استفاده کند.

زیرساخت پنهان پشت عملیات

لایه دوم، زیرساخت میزبانی و فرماندهی و کنترل است. عملیات سایبری بدون سرور، دامنه، VPS، پراکسی، کانال ارتباطی و نقاط پنهان‌سازی دوام نمی‌آورد. در شرایطی که اینترنت در ایران کاملا قطع است و هر نوع ارتباطی در هر سطحی از شبکه ممکن است با اختلال مواجه شود، مهاجمان سایبری، نیازمند زیرساخت قابل اعتماد هستند. در نگاه عمومی، توجه بیشتر به بدافزار یا نام گروه‌ها جلب می‌شود؛ اما در عمل، زیرساخت میزبانی همان جایی است که نشان می‌دهد چند عملیات ظاهرا جداگانه می‌توانند منشا یکسانی داشته‌باشند.

توقیف حدود ۸۰۰ سرور در هلند در ماه مه ۲۰۲۶، همین لایه را آشکارتر کرد. یک ارائه‌دهنده میزبانی به نام WorkTitans که ظاهرا پس از تحریم Stark Industries به عنوان جانشین آن عمل می‌کرد، به زیرساخت چند گروه ایرانی گره خورده بود. اهمیت ماجرا در این بود که چند بازیگر با اهداف و روش‌های متفاوت، از یک لایه زیرساختی مشترک استفاده می‌کردند.

در میان این بازیگران، نام‌هایی مانند MuddyWater، Agrius و Nimbus Manticore دیده می‌شود. مادی واتر با وزارت اطلاعات جمهوری اسلامی پیوند داده شده‌است. آگریوس در کارزارهای مهندسی اجتماعی با طعمه استخدام و بک‌دور MURKYTOUR ظاهر شده‌بود. نیمبوس مانتیکور نیز با حمله به صنایع هوافضا، هوانوردی و دفاعی شناخته می‌شود. با این حال، در سطح زیرساخت، رد هر سه به یک محیط میزبانی مشترک رسید.

این شواهد نشان می‌دهد معماری عملیات سایبری جمهوری اسلامی فقط مجموعه‌ای از گروه‌های پراکنده نیست. در پس نام‌های متفاوت، گاهی لایه‌های مشترک دیده می‌شود؛ ارائه‌دهندگان میزبانی، بازه‌های IP، دامنه‌ها و ابزارهایی که چند کارزار را هم‌زمان پشتیبانی می‌کنند. این لایه اگر شناسایی شود، فقط یک حمله را مختل نمی‌کند؛ می‌تواند چند عملیات فعال را هم‌زمان مختل کند یا دست‌کم هزینه و اصطکاک عملیاتی آنها را بالا ببرد.

یکی از جزئیات مهم در پرونده WorkTitans، استفاده از این زیرساخت برای اسکن اهدافی در خاورمیانه از نظر آسیب‌پذیری‌های شناخته‌شده در دوربین‌های IP بود؛ آن هم فقط حدود یک هفته پیش از آغاز عملیات خشم حماسی.

جاسوسی کلاسیک در دل جنگ

در کنار شناسایی زیرساخت‌ها و آماده‌سازی فنی، کارزارهای جاسوسی سنتی نیز ادامه داشتند. نیمبوس مانتیکور که به سپاه پاسداران یا شبکه‌های وابسته به آن نسبت داده شده، در ماه‌های فوریه تا آوریل ۲۰۲۶ چند موج عملیات اجرا کرد: فیشینگ شغلی علیه کارکنان بخش‌های نرم‌افزار و هوانوردی، دعوت جعلی به جلسه با نصب‌کننده آلوده Zoom، و سپس مسموم‌سازی نتایج جست‌وجو برای رساندن کاربران به صفحه جعلی دانلود SQL Developer.

در فیشینگ شغلی، مهاجم قربانی را با فرصت کاری جذب می‌کند. در دعوت جعلی به جلسه، از عادت روزمره محیط‌های حرفه‌ای استفاده می‌کند. در مسموم‌سازی سئو، حتی دیگر لازم نیست ایمیلی به قربانی بفرستد؛ کافی است کاربر خودش دنبال نرم‌افزار تخصصی بگردد و در نتیجه جست‌وجو به صفحه آلوده برسد.

در همین دوره، ابزار تازه‌ای به نام MiniFast مشاهده شد؛ بک‌دوری که برای پایداری، اجرای فرمان، استخراج فایل، دریافت بارهای اضافی و کنترل از راه دور طراحی شده بود. برخی نشانه‌های کدنویسی آن، از جمله سازمان‌دهی ماژولار با وجود سادگی کلی بدافزار، پیام‌های خطای مفصل و سبک نام‌گذاری توصیفی، این احتمال را مطرح کرد که در توسعه آن از ابزارهای هوش مصنوعی کمک گرفته شده باشد.

این بخش از جنگ، کم‌صداتر از هک و افشا یا حملات مخرب است، اما از نظر عملیاتی کم‌اهمیت‌تر نیست. جاسوسی سایبری در زمان بحران، داده، اعتبارنامه، شناخت سازمانی و دسترسی پایدار تولید می‌کند. همین دسترسی‌ها می‌توانند بعدا برای تخریب، افشا، اخاذی، عملیات روانی یا هدف‌گیری افراد استفاده شوند.

جنگی که فقط منطقه‌ای نبود

تصویر کلی روشن است: جمهوری اسلامی پیش از آغاز آشکار جنگ، بخشی از میدان سایبری را آماده کرده بود. این آماده‌سازی لزوما به معنای داشتن دسترسی قطعی به همه اهداف نبود؛ اما به معنای شناسایی، آزمون، اسکن، فیشینگ، ساخت ابزار، آماده‌سازی زیرساخت و حفظ امکان عملیات بود. پیش از آنکه موشک‌ها شلیک شوند، بخشی از شبکه‌ها و تجهیزات در معرض اینترنت اسکن شده بودند. پیش از آنکه مقام‌ها، نظامیان یا سازمان‌ها هدف فشار روانی قرار بگیرند، مسیرهای گردآوری داده و شناسایی آزموده شده بود. پیش از آنکه افشاها منتشر شوند، بخشی از مسیرهای نفوذ، میزبانی و فرماندهی و کنترل آماده شده بود.

جنگ ۴۰روزه فقط برای جمهوری اسلامی پیامد نداشت. این جنگ برای چین و دیگر رقبای آمریکا نیز می‌توانست یک مطالعه میدانی درباره ترکیب اطلاعات انسانی، سایبر، فریب، هدف‌گیری و عملیات نظامی باشد؛ الگویی که در آن حمله نظامی از شبکه‌ای از داده، شنود، دسترسی دیجیتال و منابع انسانی جدا نیست.

از زمان استاکس‌نت، جمهوری اسلامی در مرکز یکی از مهم‌ترین تجربه‌های جنگ سایبری مدرن قرار داشته است. حمله به نطنز نشان داد که کد می‌تواند به تخریب فیزیکی برسد. سال‌ها بعد، جنگ ۴۰روزه دوباره این پرسش را برجسته کرد که عملیات نظامی پیشرفته تا چه اندازه به ترکیب سایبر، اطلاعات انسانی، شنود، فریب و دسترسی دیجیتال وابسته شده است.

پکن از سال‌ها پیش درگیر تقویت ضدجاسوسی، کاهش وابستگی به فناوری خارجی، کنترل زنجیره تامین و عملیات سایبری بلندمدت علیه زیرساخت‌های رقیبان بوده است. جنگ ایران می‌تواند این روندها را تشدید کند، نه لزوما تغییر بنیادی دهد. اگر آمریکا و اسرائیل توانسته باشند از ترکیب اطلاعات انسانی و سایبری برای هدف‌گیری دقیق در ایران استفاده کنند، چین نیز احتمالا این جنگ را به عنوان مطالعه‌ای برای بازبینی ضعف‌های ضدجاسوسی، زنجیره تامین و امنیت زیرساخت‌های خود خواهد دید.

در این معنا، جنگ سایبری جمهوری اسلامی بخشی از رقابتی بزرگ‌تر است. تهران ممکن است از چین و روسیه بیاموزد، با آنها اطلاعات مبادله کند یا از زیرساخت‌ها و الگوهای مشابه استفاده کند. در مقابل، پکن و مسکو نیز می‌توانند تجربه جمهوری اسلامی در برابر آمریکا و اسرائیل را به عنوان نمونه‌ای از آسیب‌پذیری دولت‌ها در برابر ترکیب سایبر، اطلاعات انسانی و عملیات نظامی مطالعه کنند.