🚀 أصبحت CloudSek أول شركة للأمن السيبراني من أصل هندي تتلقى استثمارات منها ولاية أمريكية صندوق
🚀 أصبحت CloudSek أول شركة هندية للأمن السيبراني تدخل في شراكة مع المكتب الخاص
🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
إلى الخلف
استخبارات الخصم

تقييم مشهد الجهات الفاعلة في مجال التهديد لاستهداف ICS/OT في الصراع الإيراني الأمريكي لعام 2026 وحجم المخاطر

أدت هجمات 28 فبراير 2026 إلى تسريع التهديد السيبراني الحالي للبنية التحتية الحيوية في الولايات المتحدة، بدلاً من إنشائه. يفحص هذا التقرير من يستهدف أنظمة التحكم الصناعية (ICS)، وكيفية تنفيذ الهجمات، وحجم سطح الهجوم المكشوف. تعد البنية التحتية الحيوية هدفًا انتقاميًا رئيسيًا بسبب التأثير المدني الكبير، والعدد الكبير من أجهزة ICS المعرضة للإنترنت، ونقص الاستثمار طويل الأمد في الأمن السيبراني للتكنولوجيا التشغيلية.
March 5, 2026
5
دقيقة
جدول المحتوى
مثال H2
مثال H2

ملخص تنفيذي

لم تخلق إضرابات 28 فبراير 2026 تهديدًا إلكترونيًا للبنية التحتية الحيوية في الولايات المتحدة. لقد قاموا بتسريع تلك التي تم بناؤها منذ أكثر من عقد. يجيب هذا التقرير على ثلاثة أسئلة: من الذي يستهدف بنشاط الأنظمة الصناعية الأمريكية والحليفة، وكيف تفعل ذلك، ومدى حجم سطح الهجوم المكشوف.

60+
hacktivist groups activated within hours of 28 Feb strikes
Palo Alto Unit 42, Mar 2026
5 yrs
confirmed dwell time in US critical infrastructure
CISA AA24-038A (Volt Typhoon)
75+
US ICS devices compromised in one campaign
CISA AA23-335A (CyberAv3ngers)
40K+
internet-exposed ICS devices in the United States
Forescout / Shodan, 2024

هناك ثلاثة أشياء تجعل البنية التحتية الحيوية للولايات المتحدة سطح الانتقام الأساسي:

  • التأثير المدني: يؤدي تعطيل المياه أو الطاقة أو الوقود إلى توليد ضغط سياسي فوري دون تدخل عسكري مباشر
  • سطح هجوم يمكن الوصول إليه: يمكن الوصول مباشرة إلى عشرات الآلاف من أجهزة ICS عبر الإنترنت، والعديد منها ببيانات اعتماد افتراضية أو بدون بيانات اعتماد
  • نقص الاستثمار الهيكلي: تدير مرافق المياه والمشغلون الصناعيون بيئات التكنولوجيا التشغيلية بميزانيات أمنية أقل بكثير من المعايير التجارية
THE BOTTOM LINE
The disruption of a single US water treatment facility or power substation commands national attention and achieves strategic effect on par with kinetic action. For Iranian-aligned actors this is not theoretical. It is documented operational history.
The conflict has expanded the pool of motivated actors and reduced political constraints on action. Defenders cannot wait for specific threat intelligence before acting.

الجهات الفاعلة في مجال التهديد النشطة التي تستهدف بيئات ICS/OT

يتم وصف بعض الجهات الفاعلة أدناه، مرتبة من APTs للدولة القومية من المستوى 1 مع استمرار لسنوات وأدوات مخصصة، إلى مجموعات الوكيل والهاكتيفيست من المستوى 2 الأقل انضباطًا ولكنها أكثر عددًا بكثير ويتم تنشيطها بسرعة. يتم تقييم جميعها على أنها نشطة وذات صلة مباشرة باستهداف ICS/OT.

APT33/ العفريت | الحرس الثوري الإيراني | المستوى 1

Affiliation IRGC | Mandiant; Microsoft; MITRE ATT&CK G0064
Targets Energy, Oil and Gas, Aerospace, Defense Industrial Base, Electric Utilities
US activity Password spray campaigns against US electric utilities and oil and gas operators | Microsoft CyberWarCon 2019; Mandiant
Notable Associated with TRITON/TRISIS (2017): first malware targeting industrial Safety Instrumented Systems

متجهات الوصول الأولي

  • استخدام كلمات مرور كبيرة الحجم ضد حسابات Office 365 وAzure عبر آلاف المؤسسات في وقت واحد
  • التصيد الاحتيالي باستخدام مرفقات ماكرو Office الضارة وارتباطات.hta والمحفوظات الضارة
  • انتحال شخصية المجندين والطلاب على LinkedIn لجمع بيانات الاعتماد

TPs المؤكدة | مايكروسوفت أغسطس 2024؛ MITRE ATT&CK G0064

  • الباب الخلفي لـ Tickler (2024): يستمر C2 متعدد المراحل والمستند إلى Azure عبر مفتاح التشغيل المسمى SharePoint.exe
  • AzureHound وأدوات Roadtools لاستطلاع Azure AD؛ سرقة بيانات الاعتماد عبر LaZagne و Mimikatz
  • تم نشر AnyDesk للوصول الدائم عن بُعد دون إذن تكنولوجيا المعلومات
WHAT TO WATCH FOR
High-volume distributed login attempts with low per-account frequency against Azure / M365  |  SharePoint.exe Run registry key  |  AnyDesk installed without IT knowledge on OT-adjacent workstations

المياه الموحلة | MOIS | المستوى 1

MuddyWater (MERCURY, Seedworm, Mango Sandstorm, TA450)    MOIS nation-state APT, continuous operations since 2017
Affiliation
MOIS (Ministry of Intelligence and Security)  |  CISA/FBI/NSA/NCSC-UK AA22-055A
Targets
Telecommunications, Defense, Oil and Gas, Government, Critical Infrastructure
2026 tooling
RustyWater: new Rust-based RAT, C2 via domains mimicking Dropbox and WordPress  |  CloudSEK Feb 2026
Broker role
Confirmed initial access broker within MOIS, shares access with other Iranian actors

متجهات الوصول الأولي

  • التصيد الاحتيالي باستخدام مرفقات ماكرو Excel الضارة وقطرات PDF
  • إساءة استخدام أدوات RMM الشرعية (Syncro، PDQ Connect) المثبتة من قبل شركات تكامل تكنولوجيا المعلومات التابعة لجهات خارجية على شبكات OT
  • الاستحواذ الداخلي على البريد الإلكتروني لمتابعة التصيد الاحتيالي للموظفين والموردين الإضافيين

بروتوكولات TTP المؤكدة | CISA AA22-055A؛ ESET ديسمبر 2025؛ CloudSek فبراير 2026

  • مُحمل جانبي لـ PowGoop DLL متنكرًا في صورة تحديث Google؛ باب خلفي POWERSTATS PowerShell لسرقة بيانات الاعتماد
  • الباب الخلفي للمنخل الصغير: واجهة برمجة تطبيقات Telegram Bot لـ C2، تستمر عبر مفتاح تشغيل التسجيل في Outlook/Microsoft
  • الباب الخلفي لـ Mori: نفق DNS لتسلل ثاني أكسيد الكربون السري
  • MuddyViper (2024): مربع حوار أمان Windows مزيف لسرقة بيانات الاعتماد أثناء حملات التصيد الاحتيالي
WHAT TO WATCH FOR
Outlook/Microsoft registry run key | Telegram API outbound traffic from internal endpoints | High-entropy DNS subdomain queries | Syncro or PDQ Connect installed without IT authorisation

فريق Handala Hack | متوافق مع MoIS | المستوى 2

Handala (Void Manticore, Banished Kitten, Storm-0842)    MOIS-directed hacktivist persona, active since December 2023
Affiliation
MOIS-affiliated | Check Point Research; KELA; Cisco Talos / Splunk
Targets
Israeli organisations (primary); Western, US, and Gulf targets escalating
Approach
Speed and psychological impact over sophistication: hack-and-leak, wiper, ransomware, ICS disruption claims
Note
Claims are regularly overstated. Treat Telegram announcements as psychological operations until independently verified.

متجهات الوصول الأولي

  • الاحتيال عبر الرسائل القصيرة والبريد الإلكتروني الذي ينتحل صفة موردي تكنولوجيا المعلومات ومقدمي الخدمات
  • حل وسط لسلسلة التوريد عبر MSPs للوصول المتزامن للمشغل الصناعي النهائي
  • مسح التطبيقات التي تواجه الإنترنت بحثًا عن التكوينات الخاطئة وبيانات الاعتماد الضعيفة (تتم ملاحظتها عبر Starlink IP لتجنب حظر تحديد الموقع الجغرافي)

عناوين TTP المؤكدة | سيسكو تالوس/سبلونك يوليو 2024؛ نقطة الفحص مارس 2026

  • ممسحة مخصصة: تستند إلى تقنية المعلومات التلقائية، ويتم تعبئتها بواسطة NSIS، ويتم تسليمها عبر التصيد الاحتيالي لانتحال شخصية البائع؛ قناة Telegram باسم C2
  • نشر برامج الفدية بقصد عدم الاسترداد (سلوك المسح المقنع في صورة برامج الفدية للتأثير النفسي)
WHAT TO WATCH FOR
Vendor-impersonation phishing emails | New MSP or remote access connections to OT environments | Mass file deletion consistent with wiper behavior | Telegram C2 callbacks from internal hosts

القطة الفاتنة/APT35 | IRGC-IO | المستوى 1

Charming Kitten (APT35, APT42, Phosphorus, Mint Sandstorm, Magic Hound, TA453)    IRGC Intelligence Organisation nation-state APT, active since at least 2014
Affiliation
IRGC Intelligence Organisation (IRGC-IO) | CISA; Mandiant; Microsoft; MITRE ATT&CK G0059
Targets
Military, Government, Energy, Defense Industrial Base, Engineering, Telecoms, Journalists, Researchers, Academics
Primary role
Intelligence collection against people with access to policy, energy, and defense decision-makers; feeds IRGC targeting for other operations
US relevance
Confirmed targeting of US government, military, and energy-adjacent individuals for credential theft and long-term access | CISA; Mandiant

متجهات الوصول الأولي

  • هندسة اجتماعية متطورة عبر ملفات تعريف الوسائط الاجتماعية المزيفة وWhatsApp و Telegram والبريد الإلكتروني الذي ينتحل شخصية منسقي المؤتمرات ومساعدي الأبحاث والمحللين
  • مواقع التصيد الاحتيالي التي تستنسخ تسجيل الدخول إلى Google و Google Meet المستضافة على البنية التحتية لمواقع Google الشرعية لإضافة الأصالة | المصدر: Dark Atlas، 2025
  • أرشيفات محمية بكلمة مرور تحتوي على ملفات LNK ضارة يتم تسليمها بعد إنشاء الثقة

اتفاقيات الشراكة الافتراضية المؤكدة | CISA؛ مانديانت؛ غيتواتشر؛ دارك أطلس 2025

  • سلاسل العدوى متعددة المراحل: C2 المستضافة على السحابة والمحفوظات المشفرة وملفات LNK الضارة وعمليات الزرع عبر الأنظمة الأساسية لنظامي التشغيل Windows و macOS
  • استغلال ProxyShell ضد خوادم Microsoft Exchange للوصول الدائم إلى البريد الإلكتروني | المصدر: تحليل Gatewatcher للأرشيف التشغيلي المسرب، 2025
  • زراعة الوصول القائمة على العلاقات عبر أطر زمنية ممتدة قبل أي محاولة لجمع بيانات الاعتماد
  • كشف الأرشيف التشغيلي المسرب (2025) عن تقارير الأداء الشهرية في حملات تطوير الأهداف الفارسية والمنظمة عبر إيران وكوريا الجنوبية والكويت وتركيا والمملكة العربية السعودية ولبنان
WHAT TO WATCH FOR
Unsolicited outreach via LinkedIn, WhatsApp, or Telegram from individuals claiming academic, research, or conference roles | Phishing links to Google Sites mimicking login pages | ASPX webshells on internet-facing Exchange servers | Individuals with energy sector or policy-adjacent roles receiving unusual relationship-building contact

فولت تايفون | جمهورية الصين الشعبية | المستوى 1

Volt Typhoon (Dragos: VOLTZITE | Bronze Silhouette, Insidious Taurus)    PRC nation-state APT | CISA/NSA/FBI AA24-038A
Affiliation
People's Republic of China (PRC) | CISA AA24-038A
Targets
Communications, Energy, Transportation, Water and Wastewater | confirmed CISA AA24-038A
Intent
Pre-positioning for destructive attacks in a US-China conflict scenario. Not espionage. CISA high-confidence assessment.
Dwell time
Minimum 5 years confirmed in some victim environments | CISA AA24-038A
FBI, Jan 2024
Director Wray to Congress: described Volt Typhoon as the defining cyber threat of our generation

متجهات الوصول الأولي

  • استغلال الأجهزة المتطورة التي تواجه الإنترنت: أجهزة Fortinet و Ivanti و Citrix
  • KV Botnet: أجهزة توجيه SOHO المخترقة المنتهية الصلاحية (Cisco و Netgear) المستخدمة كبنية أساسية للترحيل
  • إساءة استخدام صالحة للحساب، يتم توقيتها إلى ساعات العمل لتندمج مع حركة المرور المشروعة

عناوين البريد الإلكتروني المؤكدة | CISA AA24-038A

  • تنفيذ حصري للعيش خارج الأرض: نيتش وwmic وntsutil وPowerShell فقط. لا توجد برامج ضارة مخصصة، مما يجعل اكتشاف التوقيع غير فعال.
  • الحركة الجانبية من أقسام شبكة تكنولوجيا المعلومات إلى OT: السمة المميزة التي تميز هذا عن التجسس التقليدي
  • تعديلات سجل PortProxy؛ مستكشف AD لتخطيط بيئة Active Directory
WHAT TO WATCH FOR
Unusual netsh / wmic / ntdsutil execution in OT-adjacent environments | PortProxy registry modifications | IT-to-OT lateral movement from unexpected source IPs | Account activity that perfectly mirrors business hours

TWO MORE TO KNOW
APT34 / OilRig (MOIS): Long-dwell energy and finance sector access. Currently operationally silent since 28 Feb 2026, assessed as covert pre-positioning. Watch: low-frequency DNS anomalies and ASPX webshells on Exchange servers. Sandworm (GRU Unit 74455): The only confirmed Tier 1 actor with a track record of destructive ICS attacks causing physical impact. FrostyGoop (Jan 2024) cut heating to 600+ buildings in Ukraine in winter. Creates hacktivist proxy groups for deniable OT attack execution. Source: CISA; US DOJ; Dragos 2025.

CyberAV3ngers | وكيل IRGC-CEC | المستوى 2

CyberAv3ngers (Dragos: BAUXITE | Microsoft: Storm-0784)    IRGC state-directed hacktivist proxy
Affiliation
IRGC-CEC (Islamic Revolutionary Guard Corps Cyber Electronic Command) | CISA AA23-335A; US Treasury Feb 2024
Targets
Water / Wastewater, Energy, Fuel Management, Manufacturing | explicit mandate: any Israeli-manufactured equipment is a legitimate target
Active since
2020, significantly escalated from October 2023
US bounty
$10 million USD issued by US government, 2024

متجهات الوصول الأولي

  • تسجيل الدخول الافتراضي لبيانات الاعتماد على أجهزة Unitronics PLC المعرضة للإنترنت عبر منفذ TCP 20256 (كلمة المرور الافتراضية: 1111)
  • مسح Shodan و Censys بحثًا عن الأجهزة المكشوفة، تم تأكيد إنشاء استعلام بمساعدة الذكاء الاصطناعي عبر ChatGPT (OpenAI، أكتوبر 2024)
  • لا يلزم استغلال ثغرة البرامج في أي حملة مؤكدة

نصائح مؤكدة | CISA AA23-335A؛ فريق كلاريتي 82

  • قم بالمصادقة على Unitronics PLC، واستبدل منطق السلم، وشوه شاشة HMI
  • تعطيل وظائف التحميل/التنزيل لمنع معالجة المشغل؛ وخفض إصدار البرنامج الثابت
  • برنامج IOCONTROL الضار (2024): باب خلفي مخصص لنظام Linux مع C2 المستند إلى MQT، يتم نشره عبر أنظمة إدارة الوقود في يونيترونيكس وأورباك | Claroty Team82، ديسمبر 2024
WHAT TO WATCH FOR
Inbound connections on TCP 20256 from external IPs | Outbound MQTT traffic (port 1883 / 8883) from ICS or IoT devices | HMI display changes, disabled remote access functions, unexpected firmware downgrades on any Unitronics or Orpak device

رسم خرائط سطح الهجوم

تمثل كل نتيجة يتم إرجاعها من خلال هذه الاستعلامات جهاز ICS حقيقيًا يقوم بتشغيل عملية صناعية مباشرة، ويمكن الوصول إليها من أي اتصال بالإنترنت. استخدم استعلامات Shodan في العمود الموجود في أقصى اليمين لملء كل صف بالأعداد الحالية.

ICS/OT INTERNET EXPOSURE MAP (Count of Exposed Internet Assets (Live & Historical))
Country Modbus TCP S7comm Niagara Fox
United States 78.7K 50.1K 53.4K
Israel 27.9K 39.6K 37.4K
Saudi Arabia 340 525 451
UAE 1.4K 1.7K 1.4K
United Kingdom 30K 31.7K 27.1K
Germany 9.7K 9.5K 4.9K
Jordan 80 55 45
Bahrain 320 400 360

ADDITIONAL Ports along with associated OT ICS Protocols
port:20256 Unitronics PCOM | confirmed CyberAv3ngers target
port:44818 EtherNet/IP | Rockwell Allen-Bradley PLCs
port:47808 BACnet UDP | building and facility automation
port:4840 OPC UA | cross-vendor ICS communication
port:20000 DNP3 | electric utility SCADA protocol
port:5900 VNC | primary hacktivist OT remote access vector

WHAT THESE COUNTS MEAN
A count on port 502 is not a count of patched systems. It is a count of devices that will respond to unauthenticated Modbus read and write commands from any IP on the internet. These are the same queries threat actors run when selecting targets. Each result is a live industrial device that can be identified, fingerprinted, and accessed from any internet connection without prior network access.

كيف تنتقل الجهات الفاعلة في مجال التهديد من الاكتشاف إلى الاضطراب

تستخدم جميع الجهات الفاعلة في هذا التقرير واحدًا أو أكثر من المسارات الثلاثة للوصول إلى بيئات ICS و OT. المسارات ليست حصرية بشكل متبادل.

المسار 1: الاستغلال المباشر للأصول المكشوفة

أدنى حاجز وأكبر خطر من حيث الحجم. لا هندسة اجتماعية، لا تسلل للشبكة.

  • يستفسر عامل التهديد عن Shodan للمنفذ 20256 أو المنفذ 502، ويحدد الأجهزة المكشوفة
  • يحاول استخدام بيانات الاعتماد الافتراضية. يونيترونيكس: 111. تم نشر الإعدادات الافتراضية الأخرى في أدلة البائع وإرشادات CISA.
  • في حالة المصادقة: الوصول الكامل على مستوى المشغل، وقراءة/كتابة قيم العملية، وتعديل منطق التحكم، وتعطيل إنذارات السلامة، وإيقاف العمليات
  • لا حاجة لخبرة ICS. يؤدي إنشاء الاستعلام بمساعدة الذكاء الاصطناعي إلى ضغط تحديد الهدف إلى دقائق.

المسار 2: التصيد الاحتيالي في البيئات المجاورة لـ OT

تستخدم من قبل APT33، مودي ووتر، هاندالا. الهدف هو الأشخاص الذين يقومون بتشغيل ICS، وليس الجهاز نفسه.

  • تصل Spearphishing إلى مهندسي SCADA ومشغلي غرف التحكم الذين ينتحلون صفة موردي المعدات أو دعم تكنولوجيا المعلومات
  • يمكن أن توفر بيانات اعتماد مشغل OT واحدة مخترقة إمكانية الوصول إلى محطة العمل الهندسية وبيئة برمجة PLC
  • تعد الشركات الصغيرة والمتوسطة المزودة بأدوات RMM المثبتة على شبكات OT هدفًا عالي القيمة: تؤدي تسوية MSP الواحدة إلى الوصول إلى جميع العملاء الصناعيين في وقت واحد

المسار 3: تسلل تكنولوجيا المعلومات مع حركة OT الجانبية

نموذج فولت تايفون. الأصعب في الاكتشاف، وأطول فترة بقاء، وأعلى تأثير محتمل.

  • تم استغلال VPN أو جدار الحماية المواجه للإنترنت للحصول على موطئ قدم في شبكة تكنولوجيا المعلومات
  • يتحرك الممثل بصمت نحو حدود تكنولوجيا المعلومات/التكنولوجيا التشغيلية: محطات العمل الهندسية والمؤرخون وخوادم القفز
  • يستخدم فقط أدوات نظام التشغيل الأصلية، بدون برامج ضارة، الإقامة المؤكدة لمدة خمس سنوات كحد أدنى في بعض الضحايا الأمريكيين
  • في حالة النزاع أو الأزمة، ينشط الممثل الذي تم وضعه مسبقًا: يعطل العمليات، ويؤدي إلى فشل السلامة، ويدمر المعدات
THE COMMON THREAD
OT is not an on-premises problem. It is an internet-connected problem. Exposed ports provide direct access. Phishing accesses the people who operate OT. IT infiltration reaches the systems adjacent to OT. All three paths lead to the same destination: control over physical industrial processes. The 60+ groups activated since 28 February 2026 do not all need Path 3. Many only need an exposed port and a default password. That is enough to make national news.

الوجبات السريعة

The scale of this threat is not measured in the sophistication of individual attacks. It is measured in the number of actors, the breadth of the attack surface, and the history of real disruption that has already occurred.

للفرق الفنية

  • قم بإزالة واجهات إدارة ICS من الإنترنت العام الآن. لا ينبغي الوصول إلى Unitronics HMI أو بوابة Siemens SIMATIC أو صفحة تسجيل الدخول إلى نياجرا عبر الإنترنت بدون VPN.
  • قم بتغيير بيانات الاعتماد الافتراضية على جميع أجهزة ICS المنتشرة. على سبيل المثال. كلمة مرور Unitronics 1111 موجودة في استشارة CISA ولا تزال قيد الاستخدام النشط.
  • الكتلة الموجودة في المحيط: بروتوكول TCP 20256 و102 و502 و44818 و1911 و4840 و20000 وUDP 47808
  • قم بمراجعة وصول جميع أدوات MSP و RMM إلى بيئات OT. إن المزامنة و PDQ Connect و AnyDesk المثبتة بدون إذن تكنولوجيا المعلومات هي أبواب مفتوحة.
  • ابحث عن حالات LOTL الشاذة في البيئات المجاورة لـ OT. قم بتعيين خطوط الأساس السلوكية. تحقق من الانحرافات عن المعتاد.
  • قم بتمكين تسجيل الدخول على جميع واجهات إدارة ICS. بدون سجلات، لا يمكن اكتشاف الحوادث أو التحقيق فيها أو تأكيدها.

للقراء القياديين وغير التقنيين

  • تم إجبار مرفق مياه أمريكي على التشغيل اليدوي من قبل مجموعة تابعة لإيران باستخدام كلمة مرور افتراضية في عام 2023. أصبحت مجموعة التهديدات الآن أكبر حجمًا وأفضل تنسيقًا ومدعومة بالذكاء الاصطناعي.
  • تم تفعيل أكثر من ستين مجموعة هاكتيفيست في غضون ساعات من 28 فبراير 2026. إنهم لا يحتاجون إلى قدرة الدولة القومية. إنهم بحاجة إلى جهاز مكشوف وتحفيز. يتم استيفاء كلا الشرطين حاليًا.
  • كان Volt Typhoon داخل البنية التحتية الحيوية للولايات المتحدة منذ سنوات. التهديد ليس فقط الهجمات القادمة. بعض الممثلين موجودون بالفعل.
  • لا تتطلب الإجراءات الثلاثة الأكثر تأثيرًا ميزانيات كبيرة: إزالة واجهات ICS من الإنترنت، وتغيير كلمات المرور الافتراضية، وحظر منافذ البروتوكولات الصناعية.
PRIORITY ACTIONS SUMMARY
1. Remove internet-exposed ICS interfaces immediately
2. Change default credentials on all deployed ICS devices
3. Block TCP 20256, 102, 502, 44818, 1911, 4840, 20000 and UDP 47808 at the perimeter
4. Audit and restrict all MSP and RMM tool access to OT environments
5. Enable logging on all ICS management interfaces
6. Hunt for LOTL behavioral anomalies (netsh, wmic, ntdsutil) in OT-adjacent environments

المصادر الأولية

  • CISA AA23-335A | استغلال شركات Unitronics PLC المستخدمة في أنظمة المياه والصرف الصحي
  • CISA AA22-055A | استشارة مشتركة من MuddyWater | مكتب التحقيقات الفدرالي، وكالة الأمن القومي، NCSC-UK، CNMF
  • CISA AA24-038A | فولت تايفون/فولتزيت في البنية التحتية الحيوية بالولايات المتحدة
  • CISA AA22-103A | تنبيه بايبيدريم/وحدة التحكم
  • معلومات التهديدات من Microsoft، أغسطس 2024 | APT33 برنامج تيكلر الضار وAzure C2
  • مانديانت | ملفات تعريف الممثلين APT33 و APT34
  • ميتري تي آند كوك | G0064 (APT33)، G0069 (المياه الموحلة)، G0049 (APT34)
  • فريق كلاروتي 82، ديسمبر 2024 | تحليل البرامج الضارة لـ IOCONTROL
  • أبحاث ESET، ديسمبر 2025 | تحليل الحملة الإسرائيلية لشركة MuddyWater/MuddyViper
  • فريق CloudSek TRIAD، يناير 2026 | تحليل RustyWater RAT
  • تشيك بوينت ريسيرش، مارس 2026 | هاندالا/فويد مانتيكور
  • سيسكو تالوس وسبلونك، يوليو 2024 | برنامج هاندالا لمسح البرامج الضارة
  • كيلا سايبر إنتليجنس، يناير 2026 | تصنيف ممثل هاندالا
  • وحدة بالو ألتو 42، مارس 2026 | تفعيل أكثر من 60 مجموعة هاكتيفيست إيرانية
  • تقرير دراغوس 2025 الخاص بأمن تكنولوجيا المعلومات/ICS | فولتزيت، كاماسيت-إلكروم، فروستيجوب
  • مدير مكتب التحقيقات الفدرالي وراي، شهادة الكونجرس، يناير 2024 | فولت تايفون
  • مختبرات أبحاث Forescout، يونيو 2025 | أعداد OT/ICS العالمية المعرضة للإنترنت
  • وزارة الخزانة الأمريكية، فبراير 2024 | وثائق عقوبات IRGC-CEC
إبراهيم الصيفي
Passionate about offensive security, the author uncovers real-world vulnerabilities and business risks through an adversarial lens. With expertise in penetration testing, vulnerability assessment, and chaining attacks for escalation, he also researches industry trends to help organizations strengthen defenses against evolving threats.
لم يتم العثور على أية عناصر.

مدونات ذات صلة

هذا نص داخل كتلة div.
استخبارات الخصم
April 1, 2026
9
دقيقة
The Scanner Was the Weapon: 36 Months of Precision Supply Chain Attacks Against DevSecOps Infrastructure
اقرأ المزيد
هذا نص داخل كتلة div.
استخبارات الخصم
11
دقيقة
The Rise and Fall of RAMP: Inside the Forum Where Ransomware Was Always Welcome
اقرأ المزيد
هذا نص داخل كتلة div.
استخبارات الخصم
March 26, 2026
7
دقيقة
البنية التحتية للذكاء الاصطناعي كهدف استراتيجي في الصراع السيبراني الحديث
اقرأ المزيد