كشف تقرير شركة الأمن السيبراني “Recorded Future” استهداف مجموعة قراصنة معروفة باسم “OilAlpha”والتي من المرجح أن لها صلات بجماعة الحوثيين باليمن؛ المنظمات غير الربحية ووسائل إعلام، وصحفيين، بشبه الجزيرة العربية.
وأشارت الشركة إلى أنه في الفترة من أبريل إلى مايو 2022 ، في الوقت الذي استضافت فيه المملكة العربية السعودية مفاوضات بين القادة اليمنيين المشاركين في الحرب، أرسلت “OilAlpha” ملفات Android ضارة عبر WhatsApp إلى الممثلين السياسيين والصحفيين. لتثبيت برامج التجسس مثل SpyNote و SpyMax، باستخدام الهندسة الاجتماعية.
يتضمن كل من SpyNote وSpyMax القدرة على الوصول إلى: سجلات المكالمات، الرسائل القصيرة، ومعلومات الاتصال، ومعلومات الشبكة ، والوصول إلى كاميرا الجهاز والصوت ، بالإضافة إلى بيانات موقع GPS.
بدأ الهجوم باستهداف – الممثلون السياسيون والشخصيات الإعلامية والصحفيون – حيث تلقوا ملفات تنصيب التطبيقات APK من حسابات WhatsApp باستخدام أرقام هواتف تابعة للمملكة العربية السعودية من خلال التطبيقات على أنها تابعة لليونيسف والمنظمات غير الحكومية ومنظمات الإغاثة الأخرى.
وحسب التقرير انتحل “القراصنة” صفة منظمات سعودية مثل مؤسسة الملك خالد ومركز الملك سلمان للإغاثة والأعمال الإنسانية ومشروع ماسام الذي يزيل الألغام الأرضية في المنطقة. كذلك صندوق الطوارئ التابع للأمم المتحدة للأطفال والمجلس النرويجي للاجئين وجمعية الهلال الأحمر.
وأشار التقرير إلى أن مجموعة القراصنة لم تفعل الكثير لإخفاء بنيتها التحتية. حيث استخدمت في الغالب شركة الاتصالات العامة اليمنية التي من المحتمل أن تكون تحت سيطرة سلطات الحوثيين.
“لا يمكننا التأكد من أنه لم يكن هناك شكل من أشكال التنازل عن تلك الأصول وبالتالي يستخدمها القراصنة”. “لا يمكننا التأكد مما إذا كانوا يبيعون بنيتهم التحتية بالفعل ، لذلك يمكن أن يكون شخص آخر يستخدمها عن قصد للمساعدة ، من المحتمل أن يكون واضحًا ، بمعرفتهم ضد أهداف مصالحهم.” بحسب التقرير.
كما رجح التقرير أن “جهات التهديد الخارجية مثل حزب الله اللبناني أو العراقي ، أو حتى المشغلين الإيرانيين الذين يدعمون [الحرس الثوري الإسلامي] ، ربما قادوا نشاط التهديد هذا” ، استنادًا إلى حقيقة أن هذه الجماعات لها مصلحة راسخة في نتيجة الحرب الاهلية.
OilAlpha هو الاسم المبتكر الجديد الذي قدمته شركة Recorded Future لمجموعتين متداخلتين سبق أن تتبعتهما الشركة تحت الاسمين TAG-41 و TAG-62 منذ أبريل 2022.
يستند التقييم إلى أن OilAlpha تتصرف لصالح جماعة الحوثيين، إلى حقيقة أن البنية التحتية المستخدمة في الهجمات مرتبطة بشكل شبه حصري بشركة اتصالات يمنية خاضعة لسيطرة الحوثيين.
والاستخدام المستمر لبنية التحتية للشركة لا يستبعد إمكانية حدوث الهجمات عبر طرف ثالث غير معروف. لكن شركة ريكورديد فيوتشر أشارت إلى أنها لم تجد أي دليل يدعم هذا المنطق.
