تقرير أمني: قطاع النفط الليبي من بين أهداف حملة تجسس إلكتروني امتدت لأشهر
ليبيا – كشف تقرير استخباراتي أمني نشره موقع أمريكي متخصص بالأمن السيبراني عن تعرض جهات ليبية، من بينها جهة من قطاع النفط الليبي ومؤسسة اتصالات وجهة حكومية، لحملة تجسس إلكتروني ممتدة استخدمت برمجية AsyncRAT، في هجمات قال التقرير إنها استمرت بين نوفمبر 2025 وفبراير 2026، مع مؤشرات ترجحت أن بدايتها تعود إلى أبريل 2025.
استهداف ليبي مركز عبر ملفات إغراء سياسية
وأوضح التقرير أن طبيعة الأهداف المختارة، إلى جانب أسماء الملفات المستخدمة في الهجمات، تشير إلى أن الحملة كانت موجهة خصيصاً نحو ليبيا، وليست مجرد استهداف عشوائي أو انتهازي. وبحسب التقرير، استند المهاجمون إلى رسائل تصيد موجهة وملفات إغراء مرتبطة بالشأن الليبي والأحداث الجارية داخله.
ومن بين الملفات التي عُثر عليها داخل الشبكات المخترقة مستند بعنوان: “Leaked CCTV footage – Saif al-Gaddafi’s assassination.gz”، كما رُصدت أسماء ملفات أخرى تضمنت إشارات مباشرة إلى ليبيا وشخصيات وملفات إقليمية مرتبطة بها، من بينها:
Audio_Libya_algeria.vbs
List_name_Libya_israel.vbs
Voice_Egypt_hafter_Libya.vbs
video_saif_eslam.vbs
audio_libya.vbs
list_name_libya.vbs
Libya_Jordan_File.vbs
names_libya444.vbs
Libya_voice2025.vbs
ويبرز من هذه الأسماء أن المخترقين استخدموا كذلك اسم المشير خليفة حفتر ضمن أدوات الإغراء الرقمية، في محاولة واضحة لاستغلال الاهتمام بالشخصيات والملفات الليبية الساخنة لزيادة فرص فتح الملفات وتشغيلها.
سلسلة اختراق بدأت بالتصيد وانتهت ببرمجية تجسس
وأشار التقرير إلى أن وسيلة الإصابة الأولية كانت على الأرجح عبر رسالة بريد إلكتروني للتصيد، قبل أن يجري تنزيل ملف خبيث بصيغة VBS يحمل بدوره اسماً محلياً أو سياسياً جذاباً، مثل: video_saif_gadafi_2026.vbs.
وأضاف أن هذا الملف كان يُنزّل من منصة Kraken Files، ثم يقوم بجلب أداة إسقاط عبر PowerShell تحمل اسم image.png، لتتولى لاحقاً إنشاء مهمة مجدولة داخل نظام ويندوز باسم “devil”، من أجل تشغيل البرمجية الخبيثة وضمان استمرارها داخل الجهاز، ثم حذف آثار بعض خطوات التنفيذ.
AsyncRAT أداة تجسس بقدرات متعددة
وأكد التقرير أن الحمولة النهائية للهجمات كانت برمجية AsyncRAT، وهي حصان طروادة للوصول عن بُعد يتيح للمهاجمين تنفيذ أوامر عن بُعد، وتسجيل ضغطات المفاتيح، والتقاط صور للشاشة، وجمع المعلومات من الأجهزة المصابة.
ولفت إلى أن هذه البرمجية متاحة علناً وقابلة للتعديل والتخصيص، وقد استخدمتها سابقاً جهات مرتبطة بدول وكذلك مجموعات فدية، ما يجعل من الصعب نسبة الحملة إلى طرف محدد، رغم أن طبيعة الأهداف المختارة ترجح احتمال وجود طابع استخباراتي أو رعاية من جهة دولة.
وجود ممتد داخل شبكة تابعة لقطاع النفط
وبيّن التقرير أن أقدم نشاط تم رصده داخل هذه الحملة يعود إلى نوفمبر 2025، فيما سُجل أحدث نشاط في منتصف فبراير 2026، مع وجود أدلة تشير إلى أن الجهة المنفذة بقيت داخل شبكة الجهة التابعة لقطاع النفط الليبي المستهدفة طوال تلك الفترة تقريباً.
وأوضح أن النشاط داخل هذه الشبكة ظهر أول مرة في نوفمبر 2025، ثم تجدد في ديسمبر 2025 وفبراير 2026، بما يعكس بقاءً طويلاً نسبياً داخل البيئة المستهدفة، وليس مجرد اختراق عابر أو محدود زمنياً.
بداية أقدم من الأنشطة المرصودة
ورغم أن الباحثين رصدوا أقدم الأنشطة المؤكدة في نوفمبر 2025، فإن التقرير أشار إلى أن ملفات مرتبطة بالحملة ظهرت على منصة VirusTotal منذ أبريل 2025، وتحمل هي الأخرى أسماء مرتبطة بليبيا، إضافة إلى احتوائها على نفس المهمة المجدولة التي ظهرت على الأجهزة المخترقة، وهو ما يعزز فرضية وجود حملة أوسع وأقدم استهدفت مؤسسات ليبية بشكل متواصل.
أبعاد تتعلق بالطاقة والتوتر الإقليمي
ورأى التقرير أن استهداف جهة من قطاع النفط الليبي يكتسب أهمية خاصة، حتى وإن كانت هذه الأنشطة سبقت الضربات الأميركية والإسرائيلية على إيران وما أعقبها من تصعيد في الخليج واضطراب في أسواق الطاقة. وأشار إلى أن ليبيا سجلت العام الماضي إنتاجاً نفطياً بلغ 1.37 مليون برميل يومياً، وهو الأعلى منذ نحو 12 عاماً، ما يجعل أي استهداف لقطاعها النفطي محل اهتمام خاص.
كما لفت إلى أن التوترات في مضيق هرمز، الذي يمر عبره نحو 20% من النفط العالمي، رفعت المخاوف من اضطراب الإمدادات وارتفاع الأسعار، ما قد يدفع جهات التهديد السيبراني إلى توسيع اهتمامها بالدول المنتجة للنفط خارج بؤر الصراع المباشرة.
تحذير للقطاعات الحيوية
وخلص التقرير إلى أن ما جرى يعكس استعداد الجهات السيبرانية الخبيثة لاستغلال الاضطرابات السياسية والأمنية والأحداث الكبرى داخل الدول من أجل التسلل إلى شبكات حساسة، داعياً المؤسسات العاملة في قطاع الطاقة، وكذلك مختلف القطاعات الأخرى، إلى الانتباه لاحتمال استخدام القضايا الجارية والأحداث الساخنة وارتفاع أسعار النفط كعناوين إغراء في رسائل التصيد والهندسة الاجتماعية.
ترجمة المرصد – خاص