استخبارات الخصم

الذكاء الاصطناعي والصراع بين إيران والولايات المتحدة والتهديد للبنية التحتية الحيوية في الولايات المتحدة

تم حشد أكثر من 60 مجموعة إلكترونية متحالفة مع إيران في غضون ساعات من التصعيد الإيراني الأمريكي في 28 فبراير 2026، حيث خفضت أدوات الذكاء الاصطناعي بشكل حاد الحاجز أمام استهداف البنية التحتية الحيوية الأمريكية المعرضة للإنترنت. يوضح التقرير كيف تتقارب أنظمة ICS المكشوفة وبيانات الاعتماد الافتراضية والاستطلاع بمساعدة الذكاء الاصطناعي في خطر الأمن القومي سريع النمو.

March 6, 2026

دقيقة

جدول المحتوى

مثال H2

ذا أوبن دوور

في 28 فبراير 2026، شنت الولايات المتحدة وإسرائيل ضربات منسقة ضد إيران. في غضون ساعات، تم تنشيط أكثر من 60 مجموعة هاكتيفيست على تيليجرام. إنهم لا يحتاجون إلى تدريب عسكري أو خبرة ICS أو دعم الدولة. كل منهم لديه شيء يمكن القول إنه أكثر فائدة: مساعد الذكاء الاصطناعي ومعرفة بأكثر من 40,000 نظام تحكم مكشوف للإنترنت.

تتتبع هذه المدونة المسار من عقد من التصعيد السيبراني الإيراني إلى بيئة الصراع الحالية، وتوضح أن التقارب بين الاستطلاع بمساعدة الذكاء الاصطناعي وسطح هجوم ICS الأمريكي المكشوف باستمرار يمثل التهديد السيبراني المحدد لهذا الصراع. تم توثيق المنهجية، وتم التحقق من سطح الهجوم، وأصبح الحاجز أقل مما كان عليه في أي وقت مضى.

إعداد المسرح: الصراع وأبعاده السيبرانية

لم يبدأ الصراع بين إيران وإسرائيل والولايات المتحدة في 28 فبراير 2026. تم بناء أبعادها الإلكترونية منذ أكثر من عقد من الزمان. ما تغير هو حجم التهديد وسرعته وإمكانية الوصول إليه. لفهم أين نحن، يعد الجدول الزمني ضروريًا.

ESCALATION TIMELINE | IRAN–ISRAEL–US CYBER CONFLICT

2012	Shamoon wiper destroys 30,000 Saudi Aramco endpoints. Iran demonstrates willingness to conduct destructive critical infrastructure attacks. Requires nation-state resources and ICS expertise.
2017	TRITON/TRISIS deployed against a Saudi petrochemical plant's Safety Instrumented System. First malware ever to target industrial safety systems. Linked to Iranian state development. Tier 1 capability only.
Oct 2023	Hamas attacks on Israel trigger activation of Iranian-aligned cyber ecosystem. CyberAv3ngers begins targeting Unitronics PLCs across Israeli and Western water, energy, and manufacturing facilities.
Nov 2023	CyberAv3ngers compromise US water infrastructure using a default password. CISA confirms 75+ US ICS devices compromised in the same campaign across four attack waves.
Oct 2024	OpenAI confirms CyberAv3ngers used ChatGPT for ICS reconnaissance. Default credentials, port discovery, Modbus scripting queried via a commercial AI platform.
H1 2025	OT/ICS internet exposure rises 35% year-over-year. Unitronics port 20256 exposure surges 160% despite two years of CISA advisories. The attack surface is growing, not shrinking.
28 Feb 2026	US-Israel strikes against Iran. Ayatollah Khamenei killed. Within hours: Electronic Operations Room formed on Telegram. 60+ Iranian-aligned hacktivist groups activate. AI-assisted ICS reconnaissance now accessible to all of them.

المسار واضح: ما بدأ كقدرة ICS على مستوى الدولة القومية في عام 2012 أصبح، بحلول عام 2026، شيئًا يمكن لأي جهة فاعلة متحمسة تجربته باستخدام أدوات مجانية واتصال بالإنترنت. لقد انهار الحاجز الفني. تم توسيع مجموعة التهديدات. ولم يكن سطح الهجوم الأمريكي أكبر من أي وقت مضى.

من يستهدف البنية التحتية الحيوية في الولايات المتحدة

لقد أنتج الصراع الحالي أكبر عملية تفعيل فردية للجهات الفاعلة السيبرانية المتحالفة مع إيران تم توثيقها على الإطلاق. يمتد النظام البيئي إلى APTs من المستوى الأول للدولة القومية التي تجري عمليات تحديد المواقع مسبقًا على مدار سنوات، إلى مجموعات الهاكتيفيست من المستوى 2 التي ليس لديها خلفية في مجال ICS وتبحث عن نقطة دخول يمكن الوصول إليها. يتمتع كلاهما الآن بإمكانية الوصول إلى نفس خط أنابيب الاستطلاع بمساعدة الذكاء الاصطناعي.

Threat Actor	Tier	Primary ICS/OT Relevance
CyberAv3ngers (BAUXITE)	2 \| IRGC-CEC	Confirmed US ICS attacks; default credential exploitation of Unitronics PLCs; IOCONTROL malware
APT33 / Elfin	1 \| IRGC	Password spray against US electric utilities and oil/gas operators; TRITON/TRISIS SIS targeting
MuddyWater (MERCURY)	1 \| MOIS	Telecoms, oil/gas, government; initial access broker; active 2026 tooling (RustyWater)
APT34 / OilRig	1 \| MOIS	Energy and finance sector long-dwell access; currently silent (assessed: covert pre-positioning)
Handala Hack Team	2 \| MOIS-aligned	Wiper, ransomware, ICS disruption claims; supply chain via MSP providers
Charming Kitten / APT35	1 \| IRGC-IO	Intelligence collection against energy/defense adjacent individuals; feeds IRGC targeting
60+ Hacktivist Groups	2/3 \| Various	Activated 28 Feb 2026; Electronic Ops Room on Telegram; AI-assisted recon accessible to all

ويضيف مقتل خامنئي بعدًا تميل تقييمات التهديدات التي تركز على الدولة إلى التقليل من أهميته: اللامركزية في العمليات السيبرانية الإيرانية. ومع تعطيل القيادة المركزية للحرس الثوري الإيراني، تعمل المجموعات الوكيلة والجهات الفاعلة في الشتات في جميع أنحاء العالم بمبادرة أيديولوجية بدلاً من توجيه الدولة.

غرفة العمليات الإلكترونية على Telegram هي آلية تنسيق وليست بنية قيادة. هذه الجهات الفاعلة أقل انضباطًا من الجماعات التي تديرها الدولة، وربما تكون أكثر تهورًا، وليس لديها أي قيود سياسية على التأثير المدني.

كما أنها الجهات الفاعلة الأكثر احتمالاً للوصول إلى مساعدة الذكاء الاصطناعي للتعويض عن العمق التقني الذي تفتقر إليه.

الذكاء الاصطناعي كمضاعف للقوة: خفض الحاجز أمام هجمات ICS

لفهم سبب كون تنشيط أكثر من 60 مجموعة من مجموعات الهاكتيفيست يمثل تهديدًا ماديًا مختلفًا عما كان عليه قبل ثلاث سنوات، تحتاج إلى فهم ما يوفره الذكاء الاصطناعي الآن لممثل ليس لديه خلفية في مجال ICS.

كان العائق التقليدي لهجمات ICS هو المعرفة: فهم البروتوكولات الصناعية، وسلوك الجهاز، وما هي سجلات Modbus، وكيفية التواصل مع PLC، والأجهزة التي لديها حالات افتراضية قابلة للاستغلال. استغرق بناء هذا سنوات. إنه ما أبقى هجمات ICS محصورة في الجهات الفاعلة من الدولة القومية أو الجماعات الإجرامية ذات الموارد الجيدة.

لا يكسر الذكاء الاصطناعي هذا الحاجز من خلال تعليم ICS للمهاجمين.

إنه يكسرها عن طريق جعل حاجز المعرفة غير ذي صلة بموجه الهجوم الأكثر سهولة وإلحاق الضرر: أجهزة ICS المعرضة للإنترنت ببيانات اعتماد افتراضية أو غائبة. لاستغلال هذه الأشياء، لا تحتاج إلى فهم كيفية عمل PLC. تحتاج إلى معرفة وجودها ومكانها وكلمة المرور التي يجب كتابتها.

"The significance is not that AI created new attack capabilities. It is that AI eliminated the research phase. An actor can move from intent to a list of accessible US ICS devices with known default credentials in under five minutes."

منصات الذكاء الاصطناعي والصراع: بُعد البنتاغون

أنتجت نفس نافذة الـ 48 ساعة التي شهدت تنشيط مجموعات الهاكتيفيست المتحالفة مع إيران في 28 فبراير 2026 تطورًا موازيًا في مشهد منصات الذكاء الاصطناعي ذي الصلة المباشرة بهذا التقييم.

في 28 فبراير 2026، أكدت OpenAI شراكتها مع وزارة الدفاع الأمريكية (أعادت تسمية وزارة الحرب في ظل الإدارة الحالية) لتوفير قدرات الذكاء الاصطناعي لحالات الاستخدام الحكومية السرية. كان رد فعل المستهلك فوريًا وقابل للقياس.
وفقًا لبيانات Sensor Tower التي أبلغت عنها TechCrunch، ارتفعت عمليات إلغاء تثبيت تطبيق ChatGPT للأجهزة المحمولة في الولايات المتحدة بنسبة 295٪ يومًا بعد يوم في 28 فبراير، مقارنة بمعدل إلغاء التثبيت اليومي المعتاد البالغ 9٪ تقريبًا. ارتفعت التقييمات ذات النجمة الواحدة بنسبة 775٪ في نفس اليوم، وانخفضت تقييمات الخمس نجوم بنسبة 50٪.
بعد أن رفضت شركة Anthropic شراكة مماثلة بسبب مخاوف بشأن المراقبة والأسلحة المستقلة، رأت أن تطبيق Claude الخاص بها يستفيد بشكل كبير.
ارتفعت تنزيلات Claude بنسبة 37٪ في 27 فبراير و 51٪ في 28 فبراير. أفادت Appfigures أن إجمالي التنزيلات اليومية لـ Claude في الولايات المتحدة تجاوز ChatGPT لأول مرة، ووصل التطبيق إلى رقم 1 في متجر التطبيقات الأمريكي.
والجدير بالذكر أن التقارير أشارت أيضًا إلى أن مسؤولي الدفاع الأمريكيين استفادوا من تكنولوجيا أنثروبيك في الضربات ضد إيران، حتى بعد الابتعاد رسميًا عن الشراكة.

WHY THIS IS RELEVANT TO THE ICS THREAT LANDSCAPE

The OpenAI-Pentagon partnership and its public fallout illustrate that AI platforms are now deeply embedded in the conflict ecosystem from both directions: as tools used by state actors for defense operations, and as tools used by threat actors for offensive reconnaissance. The CyberAv3ngers ChatGPT disclosure (Section 04) and the OpenAI-DoD deal are two sides of the same dynamic.

The consumer backlash also signals that public trust in AI governance is fragile in conflict contexts. For defenders, this matters: the AI platforms most likely to provide unrestricted ICS reconnaissance assistance are not the publicly accountable commercial platforms subject to policy enforcement. They are the unconstrained, jailbroken, or adversarially fine-tuned alternatives that threat actors migrate to when commercial platforms enforce safety guidelines.

Source: TechCrunch, 2 March 2026 | Sensor Tower via TechCrunch | Appfigures | Republic World

ما أكدته جلسات CyberAv3ngers ChatGPT

هذه الديناميكية ليست نظرية. في أكتوبر 2024، أكد تقرير استخبارات التهديدات الخاص بـ OpenAI أن حسابات CyberAV3ngers قد استخدمت ChatGPT لاستطلاع ICS. تضمنت أنواع الاستعلام الموثقة، كما أبلغت عنها OpenAI، ما يلي:

CONFIRMED CHATGPT QUERY TYPES | SOURCE: OPENAI THREAT INTELLIGENCE REPORT, OCTOBER 2024

Requesting lists of industrial protocols and ports accessible via the internet
Querying default credentials for Tridium Niagara devices and Hirschmann RS industrial routers
Requesting guidance on creating Modbus TCP/IP clients for protocol interaction
Asking how to scan networks programmatically for ICS devices
Requesting methods to obfuscate bash scripts for post-compromise use
Querying which industrial routers are commonly deployed in specific geographic regions

قامت OpenAI بتقييم أن هذه التفاعلات لم توفر إمكانات تتجاوز بحث الويب التقليدي. هذا التأطير يقلل من التأثير التشغيلي.
قيمة الذكاء الاصطناعي في هذا السياق هي السرعة وإمكانية الوصول. إن الجلسة التي تعرض استعلام Shodan الصحيح وتؤكد بيانات الاعتماد الافتراضية وتشرح البروتوكول في محادثة واحدة تزيل أسابيع من البحث في الخلفية.
بالنسبة لمجموعة قراصنة الإنترنت التي تم تنشيطها ردًا على حدث جيوسياسي عاجل بتفويض انتقامي محدد، فإن هذا الضغط مهم من الناحية التشغيلية.

سلسلة Recon المدعومة بالذكاء الاصطناعي في الممارسة

يوثق ما يلي سير عمل الاستطلاع بمساعدة الذكاء الاصطناعي كتمرين بحثي، يعكس بشكل مباشر منهجية CyberAV3ngers الموثقة. جميع الخطوات سلبية تمامًا. لم يتم الوصول إلى أي أنظمة أو المصادقة عليها أو التحقيق فيها. تم الحصول على كل النتائج الموضحة أدناه من خلال طلبات HTTP القياسية والمحتوى المفهرس بشكل عام.

الخطوة 1: اكتشاف الأصول عبر استعلامات Shodan و Google Dork التي تم إنشاؤها بواسطة الذكاء الاصطناعي

يطلب أحد الباحثين من LLM إنشاء استعلامات Shodan لأجهزة ICS المعرضة للإنترنت في الولايات المتحدة، مع استهداف بروتوكولات وأنواع معينة من البائعين. تقوم الاستعلامات الناتجة بإرجاع أنظمة صناعية مباشرة وقابلة للتخاطب:

*لقطة من استعلامات Shodan المقدمة من وكيل AI LLM للبرامج المختلفة الخاصة بأصول ICS الموجودة في الولايات المتحدة*

الخطوة 2: تحليل عنوان URL السلبي وتقييم CVE

بعد تحديد عدد قليل من واجهات الويب الحية لـ ICS عبر الاستعلامات أعلاه، قدم الباحث عنوان URL لنظام الذكاء الاصطناعي وطلب تقييمًا سلبيًا لما تم الكشف عنه. يمثل ما يلي التحليل الذي تم إرجاعه من واجهة ويب Siemens SIMATIC CP 343-1 التي تم تحديدها أثناء هذا البحث:

لدى أي جهة فاعلة ليس لديها معرفة مسبقة بـ ICS، وتتلقى هذا التحليل، نموذج تهديد كامل لجهاز صناعي مباشر: نوعه الدقيق، CVEs، حقيقة عدم تكوين المصادقة، خريطة لكل صفحة فرعية يمكن الوصول إليها وما تكشفه، ووصف واضح لما تحققه الخطوة التالية. تم إنتاج هذا من طلب HTTP لمتصفح قياسي واحد. لا يوجد مسح ولا استغلال ولا فحص للشبكة.

واجهة الويب المباشرة لـ Siemens SIMATIC CP 343-1 (Portal0000.htm): طراز الجهاز، حالة التشغيل، «حماية الوصول إلى الوحدة: غير مقفلة»، قائمة التنقل لجميع الصفحات الفرعية التي يمكن الوصول إليها. تم تنقيح اسم IP/المضيف.

تم تحديد بوابة ICS/HMI الإضافية المكشوفة عبر Shodan/Google dork أثناء البحث: نوع الجهاز، حالة الوصول غير المصادق عليها، واجهة الإدارة التي يمكن الوصول إليها. تم تنقيح اسم IP/اسم المضيف والقدرة على ***حرر*** قراءات العدادات وتغيير قطبية الإعدادات لإراحة قراءات العدادات في محطة توليد الكهرباء الموجودة في أصول أمريكية معينة

من المنفذ المفتوح إلى التعطيل التشغيلي: دراسة حالة Aliquippa

تعتبر إحصائيات التعرض ومنهجية الاستطلاع مجردة حتى ترتكز على ما أنتجته سلسلة الهجوم هذه في العالم الحقيقي. تعد تسوية محطة مياه Aliquippa دليلًا موثقًا على مفهوم ما يؤدي إليه منفذ ICS المفتوح بكلمة مرور افتراضية.

هيئة المياه البلدية في أليكويبا، بنسلفانيا | 25 نوفمبر 2023

لم يتطلب هجوم Aliquippa أي مساعدة من الذكاء الاصطناعي. كان الأمر بالفعل بسيطًا بما يكفي للتنفيذ بدونه.
ما يقدمه الذكاء الاصطناعي هو الحجم والأتمتة.
يمكن كتابة منهجية Aliquippa في أقل من 50 سطرًا من Python:
قم بتكرار قائمة أجهزة Unitronics على المنفذ 20256 التي تم إرجاعها بواسطة استعلام Shodan، جرب كلمة المرور الافتراضية، سجل النجاحات.
مشغل واحد، بدون معرفة ICS، العديد من الأهداف المتزامنة.
تضم المجموعات التي يزيد عددها عن 60 مجموعة تم تنشيطها منذ 28 فبراير 2026 ممثلين قادرين تقنيًا على ذلك بالضبط.

THE PAID MODEL ESCALATION

The reconnaissance capability described in this blog used publicly available AI tools operating within standard policy guidelines. Premium, unconstrained, or adversarially fine-tuned model variants go further:

Generating functional Python automation scripts for bulk PCOM credential testing across Shodan-returned device lists
Producing Modbus write scripts for direct process value manipulation
Providing obfuscation techniques to reduce AV detection signatures on post-compromise tooling
Detailing persistence mechanisms within ICS environments
Advising on stealth approaches for maintaining long-term access to industrial networks.

الخلاصة والوجبات السريعة

"The barrier to ICS disruption is no longer technical. It is motivational. And the events of 28 February 2026 have provided motivation to 60+ groups simultaneously."

يتشكل المشهد الحالي للتهديدات السيبرانية من خلال ثلاثة اتجاهات رئيسية: زيادة النشاط السيبراني المتحالف مع إيران، والاستخدام المتزايد لأدوات الذكاء الاصطناعي التي تجعل التخطيط للهجمات أسهل، والتعرض المتزايد لأنظمة البنية التحتية الحيوية الأمريكية عبر الإنترنت.
وقد أدت التطورات الأخيرة المتعلقة بالنزاع إلى تنشيط كبير للمجموعات السيبرانية المرتبطة بالمصالح الإيرانية، مما زاد من فرص الاستهداف العدواني أو الانتهازي للبنية التحتية وأنظمة التكنولوجيا.
تعمل أدوات الذكاء الاصطناعي على خفض الحاجز التقني للمهاجمين، مما يسمح لهم بالبحث بسرعة وتحديد الأنظمة الصناعية والبنية التحتية الضعيفة دون الحاجة إلى خبرة سابقة عميقة.
التكتيكات المستخدمة سابقًا من قبل سايبر أفانجرز أظهر دليلًا يمكن للمجموعات الأخرى الآن تكراره بسهولة أكبر بمساعدة الذكاء الاصطناعي.
يمكن للمهاجمين الآن تسريع عمليات الاستطلاع في المراحل المبكرة باستخدام الذكاء الاصطناعي لإنشاء استعلامات البحث ومسح الأنظمة المكشوفة على الإنترنت وتحديد الأهداف المحتملة في غضون فترة زمنية قصيرة.
أصبحت العلاقة بين منصات الذكاء الاصطناعي التجارية والمنظمات الحكومية أو الدفاعية جزءًا من المشهد السيبراني الجيوسياسي الأوسع.

قد تدفع القيود أو ضوابط السلامة على منصات الذكاء الاصطناعي الرئيسية الجهات الخبيثة لاستخدام أدوات الذكاء الاصطناعي البديلة التي تحتوي على ضمانات أقل.
ونتيجة لذلك، قد تؤدي الحماية الحالية على بعض منصات الذكاء الاصطناعي إلى إبطاء المهاجمين ولكن من غير المرجح أن تمنع مجموعات محددة تمامًا من استخدام الذكاء الاصطناعي في العمليات الإلكترونية التي تستهدف البنية التحتية.

THREE DEFENSIVE ACTIONS THAT WOULD HAVE PREVENTED ALIQUIPPA

Remove ICS management interfaces from public internet exposure. No Siemens SIMATIC portal, Unitronics HMI, Niagara login page, or similar interface should be reachable from an external IP without a VPN in front of it. This eliminates the AI-assisted passive reconnaissance attack path entirely.
Change default credentials before deployment. The Unitronics default password is "1111." It is in the vendor manual. It is in CISA Advisory AA23-335A. It was used in the Aliquippa attack. It remains in active use on internet-exposed devices today.
Block ICS protocol ports from internet-facing access. TCP/20256, TCP/102, TCP/502, TCP/44818, TCP/1911, UDP/47808 have no legitimate reason to be directly internet-accessible without a VPN. Blocking inbound access to these ports eliminates the bulk-credential-stuffing attack path.

These are not aspirational security goals. They are the specific controls that, had they been in place at Aliquippa, would have meant CyberAv3ngers had nothing to connect to. The threat actors active in March 2026 have AI. The attack surface is larger than when these advisories were published. The window is not indefinite.

المصادر الأولية

استشارات CISA AA23-335A | استغلال أجهزة Unitronics PLC المستخدمة في أنظمة المياه والصرف الصحي (تم التحديث في ديسمبر 2023)
تقرير معلومات تهديدات OpenAI، أكتوبر 2024 | الكشف عن استخدام CyberAV3ngers ChatGPT
TechCrunch، 2 مارس 2026 | تقوم ChatGPT بإلغاء تثبيت الطفرة بنسبة 295٪ بعد صفقة DoD (بيانات برج الاستشعار)
وحدة بالو ألتو 42 | تقييم تفعيل مجموعة الهاكتيفيست الإيرانية، 2 مارس 2026
Claroty Team82 | IOCONTROL: سلاح إلكتروني إيراني يستهدف SCADA في الولايات المتحدة وإسرائيل، ديسمبر 2024
مختبرات أبحاث Forescout | تطور التهديد العالمي لـ OT/ICS المعرضة للإنترنت، يونيو 2025
تقرير اتجاهات الحماية من المخاطر الرقمية من ReliQuest، النصف الأول من عام 2025
مركز SANS Internet Storm | جان كوبريفا، عدد إمكانية الوصول إلى الإنترنت لجهاز ICS، أبريل 2024
مؤسسة Shadowserver | تقرير ICS الذي يمكن الوصول إليه، ديسمبر 2023
عالم الجمهورية/القصة المصورة 18 | تقرير صفقة البنتاغون OpenAI، 28 فبراير 2026
KDKA-TV بيتسبرغ | بيان رئيس مجلس إدارة هيئة المياه البلدية في أليكويبا، نوفمبر 2023

إبراهيم الصيفي

Passionate about offensive security, the author uncovers real-world vulnerabilities and business risks through an adversarial lens. With expertise in penetration testing, vulnerability assessment, and chaining attacks for escalation, he also researches industry trends to help organizations strengthen defenses against evolving threats.

لم يتم العثور على أية عناصر.