مشهد تهديدات الأمن السيبراني في الشرق الأوسط 2025-2026: تحليل شامل
تصاعد التهديدات السيبرانية في منطقة الخليج
تشهد منطقة الشرق الأوسط -- وخاصة دول مجلس التعاون الخليجي -- تصاعداً غير مسبوق في التهديدات السيبرانية. مع تسارع التحول الرقمي في المملكة العربية السعودية والإمارات والمنطقة، أصبحت البنية التحتية الرقمية هدفاً رئيسياً لمجموعات متنوعة من المهاجمين: من عصابات الجريمة الإلكترونية المدفوعة مالياً إلى مجموعات التهديد المتقدم المدعومة من دول.
يقدم هذا التحليل نظرة شاملة على أبرز التهديدات التي واجهتها المنطقة خلال النصف الثاني من 2025 والربع الأول من 2026، مع التركيز على القطاعات الأكثر استهدافاً والتوصيات الدفاعية العملية للمنظمات السعودية.
مشهد هجمات الفدية: الدوافع المالية تتصدر المشهد
تُظهر بيانات استخبارات التهديدات أن 52% من الحوادث السيبرانية في الشرق الأوسط خلال 2025 كانت ذات دوافع مالية، مع هيمنة هجمات الفدية (Ransomware) على المشهد. وفقاً لتقارير Cyble الاستخباراتية، سُجلت أكثر من 90 عملية تسريب بيانات على منتديات الويب المظلم تتعلق بمنظمات خليجية خلال النصف الأول من 2025 وحده.
تصدرت عدة مجموعات إجرامية المشهد في استهداف المنطقة:
DragonForce: مجموعة فدية ناشطة بشكل ملحوظ في استهداف القطاعين المالي والتجاري في دول الخليج، مع تكتيكات ابتزاز مزدوج تشمل تشفير البيانات وتهديد بنشرها
Everest: مجموعة استهدفت مؤسسات حكومية وشبه حكومية في المنطقة، متخصصة في الوصول الأولي وبيع بيانات الاعتماد المسروقة
DarkVault: مجموعة ناشئة ركزت على قطاعي الطاقة والاتصالات في الشرق الأوسط مع تطور سريع في أدواتها وتكتيكاتها
يعكس هذا التنوع في المجموعات المهاجمة واقعاً مقلقاً: المنطقة أصبحت هدفاً مربحاً لعصابات الجريمة الإلكترونية العالمية، والمنظمات التي لا تستثمر في دفاعاتها تصبح الهدف الأسهل.
التهديدات المدعومة من دول: مجموعات APT الإيرانية
إلى جانب الجريمة الإلكترونية ذات الدوافع المالية، تواجه دول الخليج تهديداً استراتيجياً من مجموعات التهديد المتقدم (APT) المدعومة من دول، وتتصدر المجموعات الإيرانية قائمة أبرز المهاجمين. وفقاً لتقارير Microsoft Threat Intelligence وRecorded Future، تبرز ثلاث مجموعات رئيسية:
Charming Kitten (APT35)
مجموعة تجسس إلكتروني مرتبطة بالحرس الثوري الإيراني، تستهدف بشكل أساسي القطاعات الحكومية والدبلوماسية والدفاعية. تشتهر بحملات التصيد الاحتيالي المتطورة التي تنتحل هوية مؤسسات أكاديمية ومراكز أبحاث. خلال 2025، وسّعت نشاطها ليشمل استهداف قطاع الطاقة في دول الخليج.
MuddyWater
مجموعة متخصصة في الوصول الأولي والاستطلاع الإلكتروني، تستهدف قطاعات الاتصالات والتقنية في المنطقة. تستخدم أدوات إدارة عن بعد مشروعة (مثل ConnectWise وAnyDesk) كغطاء لعملياتها، مما يصعّب اكتشاف نشاطها بالوسائل التقليدية. سُجلت عمليات متعددة لهذه المجموعة ضد أهداف سعودية خلال 2025.
OilRig (APT34)
واحدة من أقدم وأكثر مجموعات APT الإيرانية نشاطاً في استهداف دول الخليج. تركز على قطاعات الطاقة والمالية والحكومة. تتميز بتطوير أدوات مخصصة ومتقدمة وقدرتها على البقاء في الشبكات المخترقة لفترات طويلة (أشهر إلى سنوات) قبل اكتشافها.
تصعيد فبراير 2026: أرقام غير مسبوقة
كشفت الإمارات العربية المتحدة في فبراير 2026 عن حجم التهديدات السيبرانية التي تواجهها المنطقة، حيث أعلن مجلس الأمن السيبراني الإماراتي أن البلاد تعترض يومياً ما بين 90,000 إلى 200,000 هجمة سيبرانية، مشيراً إلى أن أكثر من 70% منها مدعومة من جهات حكومية أجنبية.
تعكس هذه الأرقام حجم التحدي الذي تواجهه دول الخليج: ليس فقط الكم الهائل من الهجمات، بل النسبة المرتفعة للهجمات المدعومة من دول، مما يعني مستوى تعقيد وموارد تتجاوز قدرات الجريمة الإلكترونية التقليدية. وبينما تمتلك الإمارات والسعودية قدرات دفاعية متقدمة، فإن هذا الحجم يتطلب استثماراً مستمراً في الأدوات والكوادر والاستراتيجيات الدفاعية.
المملكة العربية السعودية: ملف التهديدات القطاعي
تلعب الهيئة الوطنية للأمن السيبراني (NCA) دوراً محورياً في الدفاع السيبراني الوطني من خلال إصدار التنبيهات الأمنية ومتابعة التهديدات وتنسيق الاستجابة للحوادث. تواجه القطاعات السعودية المختلفة ملفات تهديد متباينة:
قطاع الطاقة: الأكثر استهدافاً من مجموعات APT الحكومية، خاصة المرتبطة بإيران. تشمل التهديدات التخريب الصناعي (ICS/SCADA)، التجسس على البنية التحتية الحيوية، وهجمات سلسلة التوريد على مقاولي النفط والغاز
القطاع المالي: يواجه مزيجاً من الهجمات المالية المتقدمة والتصيد الاحتيالي الموجه. مع نمو التقنية المالية (FinTech) في المملكة، تزداد مساحة الهجوم وتتنوع الأساليب المستخدمة
القطاع الحكومي: مستهدف بحملات تجسس إلكتروني طويلة الأمد تسعى للوصول إلى معلومات استراتيجية. مع توسع الحكومة الرقمية، تزداد الحاجة لتأمين الخدمات الإلكترونية المواطنية
قطاع الاتصالات: هدف استراتيجي لمجموعات APT كنقطة وصول إلى اتصالات الأهداف الحقيقية. عمليات اختراق شركات الاتصالات تمنح المهاجمين قدرة تجسسية واسعة النطاق
التوصيات الدفاعية للمنظمات السعودية
في ضوء مشهد التهديدات المتطور، نوصي المنظمات السعودية بتبني الاستراتيجيات الدفاعية التالية:
بناء قدرات استخبارات التهديدات
الاشتراك في خدمات استخبارات التهديدات المتخصصة في المنطقة للحصول على تنبيهات مبكرة عن التهديدات الناشئة
مراقبة منتديات الويب المظلم للكشف المبكر عن تسريبات بيانات أو بيع بيانات اعتماد مسروقة تتعلق بالمنظمة
متابعة تنبيهات الهيئة الوطنية للأمن السيبراني وتطبيق التحديثات الأمنية المُوصى بها فوراً
تعزيز قدرات مركز العمليات الأمنية (SOC)
تشغيل مركز عمليات أمنية على مدار الساعة مع قدرات متقدمة في اكتشاف التهديدات والاستجابة لها (24/7 SOC)
اعتماد أدوات الكشف والاستجابة الممتدة (XDR) لربط الأحداث الأمنية عبر النقاط الطرفية والشبكة والسحابة
إجراء تمارين Red Team دورية لاختبار فعالية الدفاعات والكشف عن الثغرات قبل المهاجمين
التخطيط للاستجابة للحوادث
وضع خطة استجابة للحوادث واختبارها عملياً مرتين سنوياً على الأقل من خلال تمارين محاكاة
تحديد قنوات الاتصال والتصعيد بوضوح، بما في ذلك الإبلاغ للهيئة الوطنية للأمن السيبراني عند الحوادث الكبرى
الاحتفاظ بنسخ احتياطية معزولة (air-gapped) وآمنة لضمان القدرة على الاستعادة في حال هجمات الفدية
الخلاصة: البقاء متقدماً على التهديدات المتطورة
مشهد التهديدات السيبرانية في الشرق الأوسط يتطور بوتيرة متسارعة، مدفوعاً بالتوترات الجيوسياسية والقيمة الاستراتيجية للبنية التحتية الرقمية في المنطقة. مع استمرار نمو التهديدات كماً ونوعاً -- من هجمات الفدية المالية إلى عمليات التجسس المدعومة من دول -- لم يعد الاستثمار في الأمن السيبراني خياراً بل ضرورة وجودية للمنظمات السعودية.
المنظمات التي تبني قدرات استخباراتية استباقية، وتستثمر في كوادرها الأمنية، وتتبنى إطاراً دفاعياً متعدد الطبقات ستكون الأقدر على مواجهة هذه التحديات. الامتثال للضوابط التنظيمية -- مثل ضوابط الأمن السيبراني الأساسية (ECC) -- يوفر أساساً متيناً، لكنه يجب أن يُكمَّل ببرامج استخبارات تهديدات نشطة وقدرات استجابة سريعة.