شركة أمنية أمريكية تكتشف مجموعة قرصنة حوثية تنفذ عمليات تجسس على منظمات دولية تعمل في اليمن
استهدفت مجموعة قرصنة تُعرف باسم OilAlpha لها صلات محتملة بمليشيا الحوثي مجموعات إنسانية ووسائل إعلامية ومنظمات غير ربحية في المنطقة عبر تطبيق واتساب كجزء من حملة تجسس رقمية، وفقا لتقرير جديد صادر عن شركة الأمن السيبراني Recorded Future.
وأشارت الشركة الأمنية ومقرها الولايات المتحدة إلى أنه في الفترة من أبريل إلى مايو 2022، في الوقت الذي استضافت فيه المملكة العربية السعودية مفاوضات بين القادة اليمنيين، أرسلت مجموعة القرصنة OilAlpha ملفات Android ضارة عبر تطبيق واتساب إلى الممثلين السياسيين والصحفيين. يبدو أن مجموعة القرصنة تفضل استخدام أدوات الوصول عن بعد لتثبيت برامج التجسس المحمولة مثل SpyNote و SpyMax.
وقالت الشركة، إن مجموعة القرصنة ستستمر على الأرجح في استخدام التطبيقات الخبيثة "لاستهداف الكيانات التي تشترك في الاهتمام بالتطورات السياسية والأمنية في اليمن والقطاعات الإنسانية والمنظمات غير الحكومية التي تعمل في اليمن".
ويتضمن برامج التجسس SpyNote و SpyMax القدرة على الوصول إلى "سجلات المكالمات، وبيانات الرسائل القصيرة، ومعلومات الاتصال، ومعلومات الشبكة، والوصول إلى كاميرا الجهاز والصوت، بالإضافة إلى بيانات موقع GPS، من بين أمور أخرى"، كما أشار التقرير. وبالمثل، تركز مجموعة القرصنة على هواتف Android المتوفرة على نطاق واسع في المنطقة.
وتعتقد الشركة الأمنية أن المجموعة انتحلت أيضا منظمات سعودية مثل مؤسسة الملك خالد ومركز الملك سلمان للإغاثة والأعمال الإنسانية ومشروع مسام الذي يزيل الألغام الأرضية في المنطقة، حسبما أشار التقرير بعد العثور على رموز مع تلك المنظمات في البرامج الضارة.
وقالت إن المجموعة انتحلت أيضا في طلبات لها منظمات غير حكومية مثل صندوق الطوارئ التابع للأمم المتحدة للأطفال والمجلس النرويجي للاجئين وجمعية الهلال الأحمر. تقوم كل هذه المنظمات إما بإدارة أو تنسيق الاستجابة للكوارث والعمل الإنساني في اليمن.
وأضافت الشركة "باستثناء اكتشاف معلومات جديدة أو تحولات جيواستراتيجية أوسع، من المرجح أن تستمر مجموعة القرصنة في استخدام التطبيقات الخبيثة المستندة على نظام الاندرويد لاستهداف الكيانات التي تشترك في الاهتمام بالتطورات السياسية والأمنية في اليمن والقطاعات الإنسانية والمنظمات غير الحكومية التي تعمل في اليمن".
يبدو أن المجموعة لم تفعل الكثير لإخفاء بنيتها التحتية. حيث قالت شركة ريكورديد فيوتشر إن مجموعة القرصنة OilAlpha تستخدم في الغالب شركة الاتصالات العامة اليمنية التي تحت سيطرة سلطات الحوثيين.
بالإضافة إلى ذلك، استخدمت المجموعة بشكل شبه حصري DNS الديناميكي، والذي كان بمثابة مؤشر آخر لربطه بالحوثيين، حسبما لاحظته شركة Recorded Future.
وأشارت الشركة إلى أن "جهات التهديد الخارجية مثل حزب الله اللبناني أو العراقي، أو حتى المشغلين الإيرانيين الذين يدعمون الحرس الثوري ربما قادوا نشاط التهديد هذا"، استنادا إلى حقيقة أن هذه الجماعات لها مصلحة راسخة في نتيجة الحرب باليمن.