حذرت الشركة من أن نشاط المجموعة يعكس تطورًا في القدرات السيبرانية الإيرانية، مشيرة إلى أن الإطار الجديد الذي تستخدمه كافيرن مانتيكور يتميز بالمرونة والقدرة على التكيف بسرعة مع حملات هجومية جديدة، وأهداف مختلفة، ومتطلبات تشغيلية متغيرة.
كشفت شركة الأمن السيبراني الإسرائيلية تشيك بوينت (Check Point) عن قيام مجموعة قرصنة مرتبطة بإيران بتطوير إطار هجومي جديد يستهدف مؤسسات إسرائيلية، خصوصًا في قطاعي الحكومة وتكنولوجيا المعلومات، مع قدرة على تجاوز أنظمة الكشف والتحليل السيبراني التقليدية.
وأفادت وحدة الأبحاث التابعة للشركة Check Point Research في تقرير صدر يوم الاثنين، بأنها تتابع منذ بداية عام 2026 نشاط مجموعة قرصنة تُعرف باسم "كافيرن مانتيكور" (Cavern Manticore)، والتي تربطها بوزارة الاستخبارات والأمن الإيرانية.
وبحسب التقرير، طورت المجموعة إطارًا جديدًا للهجمات الإلكترونية يتيح لها تكييف عملياتها وفق البيئات المستهدفة، وتقليل حجم المعلومات التي يستطيع المدافعون والمحللون استعادتها من كل ضحية على حدة، إضافة إلى الحفاظ على إمكانية الوصول إلى الأنظمة بعد الاختراق الأولي، وذلك من خلال وحدات متخصصة تسمح بالتوسع داخل الشبكات والوصول إلى البيانات.
وأوضح التقرير أن المجموعة اعتمدت في مراحلها الأولى على استغلال مزودي خدمات تكنولوجيا معلومات موثوقين لنشر أداتها الجديدة، قبل أن تتمكن هذه الأداة من الوصول إلى الملفات الموجودة على أجهزة الكمبيوتر المصابة، وتحميل برامج إضافية، والبحث في الملفات والشبكات الداخلية، واختبار كلمات المرور، ثم التحرك بشكل أعمق داخل المؤسسات المستهدفة.
وأشار التقرير إلى أن الأداة الجديدة مصممة لاستغلال حلول المراقبة والإدارة عن بُعد، وهي أنظمة تستخدمها شركات تكنولوجيا المعلومات لمراقبة الأجهزة وإدارتها، وقد تسمح بنقل التحكم في جهاز معين إلى طرف آخر.
وبمجرد تثبيت الأداة داخل النظام، يمكنها اختراق البرامج التي تُستخدم للوصول إلى أجهزة كمبيوتر أخرى، كما يمكن للقراصنة إرسال برمجيات خبيثة متخفية على شكل تحديثات شرعية صادرة عن مزود خدمات تكنولوجيا المعلومات، ما يجعل اكتشافها أكثر صعوبة.
وقالت وحدة Check Point Research إنها رصدت عدة حالات أدى فيها اختراق مزود خدمات في البداية إلى اختراق مزود آخر، قبل أن تصل الأداة إلى الهدف النهائي، الأمر الذي دفعها إلى الاعتقاد بأن مجموعة كافيرن مانتيكور تمتلك معرفة دقيقة بسلاسل توريد خدمات تكنولوجيا المعلومات داخل إسرائيل.
وحذرت الشركة من أن نشاط المجموعة يعكس تطورًا في القدرات السيبرانية الإيرانية، مشيرة إلى أن الإطار الجديد الذي تستخدمه كافيرن مانتيكور يتميز بالمرونة والقدرة على التكيف بسرعة مع حملات هجومية جديدة، وأهداف مختلفة، ومتطلبات تشغيلية متغيرة.
وأكد التقرير أن استخدام المجموعة لمزودي خدمات تكنولوجيا المعلومات كحلقة وصل للوصول إلى أهدافها يمثل تحديًا أمنيًا كبيرًا، نظرًا إلى أن هذه الجهات تحظى عادة بثقة المؤسسات التي تقدم لها خدمات تقنية، ما يمنح المهاجمين فرصة للتسلل إلى شبكات متعددة عبر قناة واحدة.