از جنگ تا شناسایی اولین قربانیان ایرانی جاسوس‌افزار خانواده پگاسوس در ایران

خلاصه تحلیلی

این گزارش به بررسی روندهای حمله‌های سایبری، مدیریت محتوا، نقض حقوق دیجیتال و الگوهای بازداشت در شش ماهه اول سال ۲۰۲۵ بر اساس داده‌های خط فوریت‌های امنیت دیجیتال گروه میان می‌پردازد.

سرکوب دیجیتال در ایران وارد مرحله‌ای تازه و بی‌سابقه شده است؛ مرحله‌ای که در آن ابزارهای تکنولوژیک بسیار پیچیده‌ای به خدمت سرکوب سیاسی و اجتماعی درآمده‌اند. برای نخستین‌بار، گروه میان سه قربانی ایرانی را شناسایی کرده که هدف جاسوس‌افزارهای مزدور، ابزارهایی در سطح پگاسوس، قرار گرفته‌اند. این تحول، نشان‌دهنده عبور حکومت از نظارت عمومی به فاز جاسوسی هدفمند و تهاجمی است.

در همین بازه، حمله نظامی اسرائیل موجی از اختلالات گسترده اینترنتی، سرکوب کاربران و تشدید بازداشت‌ها را به همراه داشت. بیش از یک‌سوم پرونده‌های ارجاع‌شده به خط فوریت امنیت دیجیتال، پس از حمله اسرائیل به اختلال در دسترسی به خدمات ارتباطی، توقیف دستگاه‌ها، یا تهدید مستقیم حساب‌های کاربری مربوط بوده است.

سرکوب دیجیتال، به‌ویژه علیه زنان، اقلیت‌های قومی و فعالان خارج از کشور شدت گرفته است. داده‌ها نشان می‌دهد که فشار بر زنان، هم در قالب توقیف حساب‌ها به بهانه «حجاب اجباری»، و هم در قالب بازداشت و خشونت فیزیکی، روندی صعودی داشته است. همچنین، سهم کاربران آذربایجان، کردستان و دیگر اقلیت‌های قومی در پرونده‌های امنیت دیجیتال افزایش یافته و حملات سایبری به ایرانیان خارج از کشور به کشورهای جدیدی گسترش یافته است.

در این دوره، سازمان‌های مدنی بیشترین سهم را در حملات سایبری تجربه کرده‌اند و درخواست‌های فردی برای کمک نیز رشدی بی‌سابقه داشته است؛ که تمامی این موارد نشانه‌ای از تعمیق سرکوب در لایه‌های مختلف جامعه است.

از نظر فنی، الگوی حملات سایبری پیشرفته‌تر و سازمان‌یافته‌تر شده و از فیشینگ و جعل هویت گرفته تا بهره‌برداری از پلتفرم‌های پیام‌رسان برای نفوذ و جاسوسی، همه‌گیر شده است. همزمان، تهدیدات اجتماعی مانند توقیف سیم‌کارت، پیامک‌های تهدیدآمیز، و فریب سایبری، با هدف کنترل فرهنگی جامعه، شدت یافته‌اند.

این گزارش نشان می‌دهد که تامین امنیت دیجیتال برای فعالان جامعه مدنی در ایران دیگر تنها یک چالش فنی نیست، بلکه به مسئله‌ای حیاتی برای بقا و تداوم فعالیت مدنی بدل شده است.

در این بازه زمانی جنگ دوازده روزه اسرائیل علیه ایران، نهادهای امنیتی جمهوری اسلامی با استفاده از شرایط ویژه جنگی و اجرای کمپین‌های اطلاعات نادرست و گمراه کنند، حملات سایبری هدفمند و پیچیده، سرکوب سازمان‌یافته‌ای را علیه اقلیت‌های قومی، فعالان مدنی و مخالفان سیاسی در پیش گرفته‌اند.

یافته‌های کلیدی

• برای نخستین‌بار، سه قربانی ایرانی هدف جاسوس‌افزارهای مزدور شناسایی شدند
  در اردیبهشت ۱۴۰۴، خط فوریت امنیت دیجیتال میان، سه مورد حمله سایبری با استفاده از ابزارهایی شبیه پگاسوس را علیه کاربران ایرانی (دو مورد در ایران، یک مورد در اروپا) شناسایی کرد. این رویداد نشان‌ دهنده عبور حکومت از نظارت عمومی به مرحله جاسوسی هدفمند و پیشرفته است.
• موجی از سرکوب دیجیتال در طول و پس از جنگ ۱۲ روزه اسرائیل علیه ایران
  در پی اختلالات اینترنت، حملات فیشینگ، مسدودسازی دسترسی به سرویس‌های ارتباطی و افزایش بازداشت‌ها، اقلیت دینی بهایی و هنرمندان از اصلی‌ترین گروه‌های هدف نهادهای امنیتی بودند.
• افزایش چشمگیر سرکوب دیجیتال علیه زنان
  ثبت بیش از ۴۶٪ از پرونده‌های امنیت دیجیتال توسط زنان، همراه با بازداشت، شکنجه و احکام اعدام و زندان، نشان‌دهنده تمرکز بیشتر نهادهای امنیتی و قضایی بر سرکوب زنان است..
• افزایش سرکوب هدفمند اقلیت‌های قومی، به‌ویژه در آذربایجان غربی و شرقی
  سهم پرونده‌ها از این دو استان به بیش از ۱۲٪ رسیده است — رشدی پنج‌برابری نسبت به نیم‌سال قبل.
• گسترش سرکوب جغرافیایی در ایران
  افزایش چشمگیر پرونده‌ها در استان‌هایی مانند گیلان، اصفهان، خراسان رضوی و مازندران، همراه با ثبت موارد جدید از استان‌هایی چون گلستان، کرمانشاه و هرمزگان.
• رشد حملات فرامرزی علیه فعالان ایرانی خارج از کشور
  افزایش پرونده‌ها در بریتانیا، فرانسه، آلمان، اسلوونی و حتی کشورهایی چون اتریش و مصر، نشان‌دهنده گسترش جهانی تهدیدات است.
• نهادهای مدنی هدف اصلی حملات سایبری جمهوری اسلامی
  درخواست‌های سازمانی برای حمایت دیجیتال بیش از ۷۰٪ افزایش یافته‌اند؛ در برخی حوزه‌ها مانند حقوق اقلیت‌ها و زنان، نرخ رشد به بیش از ۲۵۰٪ رسیده است.
• افزایش قابل توجه درخواست‌های فردی برای کمک امنیت دیجیتال
  رشد ۷۲۰٪ درخواست‌های فردی در مقایسه با نیم‌سال قبل، نشان‌دهنده فراتر رفتن سرکوب از دایره فعالان حرفه‌ای و تهدید کل جامعه مدنی است.
• پلتفرم‌های واتساپ، تلگرام و اینستاگرام هدف اصلی حملات سایبری
  حملات فیشینگ و مهندسی اجتماعی در این سکوها رشد چشمگیری داشته و مهاجمان از تکنیک‌های پیشرفته جعل هویت، دام فیشینگ و تخریب حساب‌ها استفاده کرده‌اند.
• نقش پررنگ تهدیدات اجتماعی و فرهنگی در قالب سانسور و فشار بر سبک زندگی
  توقیف حساب‌های کاربران به دلیل «عدم رعایت حجاب اجباری» یا «سبک زندگی اسلامی»، نشان‌دهنده استفاده از فناوری برای کنترل فرهنگی و اجتماعی است. 

توزیع جغرافیایی

سرکوب دیجیتال در ایران نه‌تنها در شدت بلکه در پراکندگی جغرافیایی نیز گسترش یافته است. استان تهران همچنان در صدر فهرست نقض‌های امنیت دیجیتال باقی مانده، اما داده‌ها از رشد چشمگیر پرونده‌ها در استان‌هایی چون گیلان، اصفهان، خراسان رضوی و مازندران حکایت دارند؛ نشانه‌ای از پراکندگی ساختاری سرکوب و هدف‌گیری نقاط جدید. همچنین برای نخستین‌بار، رد پای سرکوب به استان‌هایی کشیده شده که پیش‌تر در آمارها غایب بودند، مانند گلستان، هرمزگان، و قم.

در خارج از کشور نیز، به‌رغم تداوم تمرکز بر ایالات متحده، روند هدف‌گیری فعالان مدنی به کشورهای اروپایی گسترش یافته و در کشورهایی نظیر بریتانیا، آلمان، فرانسه و حتی اسلوونی رشد چشمگیر داشته است. این تحولات، از استراتژی تازه و فراگیر جمهوری اسلامی برای گسترش دامنه سرکوب دیجیتال در داخل و خارج از مرزها حکایت دارد.

داخل ایران

استان تهران به واسطه تمرکز نهادهای سیاسی، احزاب، دانشگاه‌ها و رسانه‌ها، همچنان در صدر مناطقی بود که امنیت دیجیتال کاربران ساکن آن نقض شد. داده‌های خط فوریت‌های امنیت دیجیتال گروه میان اما نشان‌دهنده افزایش نزدیک به دو برابری پرونده‌های ثبت شده در زمستان و بهار ۲۰۲۵ به نسبت قبل آن است.

بازداشت‌های گسترده پس از برگزاری تجمع «کهنه سربازها» در اعتراض به وضعیت سیاسی در فوریه، سرکوب ادامه‌دار دانشجوها، فعالان سیاسی و مدنی همچنین فشارهای نهادهای امنیتی به بهانه شرایط جنگی پس از حمله اسرائیل به ایران حاکی از تشدید سرکوب ساختاری مخالفان و محدودسازی آزادی‌های مدنی در سایه تحولات منطقه‌ای و داخلی‌اند.

الگوی سرکوب دیجیتال در نیمه اول سال ۲۰۲۵ به نسبت شش ماهه آخر سال ۲۰۲۴ یک تغییر عمده دیگر را نیز نشان می‌دهد و آن افزایش گستردگی جغرافیایی است.

پرونده‌های ثبت شده در شش ماهه گذشته نشان از افزایش سرکوب دیجیتال با نرخ رشد ۱۷۵٪ در گیلان،  ۱۴۳٪ در اصفهان، ۱۵۰٪ در خراسان رضوی  و ۲۵٪ در استان مازندران می‌دهد. این چهار استان به تنهایی نزدیک به ۱۵٪ از پرونده‌های ثبت شده در خط فوریت‌های امنیت دیجیتال گروه میان را به خود اختصاص می‌دهند.

همچنین گزارش‌هایی از نقض حقوق دیجیتال کاربران در استان‌های گلستان، همدان، هرمزگان، خوزستان، کرمان، کرمانشاه، لرستان و قم در دوره شش ماهه گذشته ثبت شد که علاوه بر افزایش عمق نفوذ خط فوریت‌های امنیت دیجیتال گروه میان به نسبت گذشته، نشان‌دهنده میزان افزایش پراکندگی سرکوب در زمستان و بهار گذشته است.

گروه‌های هدف تهدیدات سایبری در جهان

فعالان مدنی ایرانی ساکن ایالات متحده همچنان به رغم کاهش ۹٪ نسبت به شش ماهه دوم سال ۲۰۲۴، همچنان اصلی‌ترین هدف نهادهای امنیتی جمهوری اسلامی هستند.

داده‌های ثبت شده همچنین نشان‌دهنده افزایش جغرافیایی هدف قرار گرفتن فعالان جامعه مدنی دیاسپورای ایرانی است و در زمستان و بهار ۲۰۲۵ پرونده‌هایی از کشورهای اتریش، مصر، دانمارک، جمهوری چک، پاکستان و کاستاریکا ثبت شده است.

تحلیل‌های موضوعی

برای نخستین بار: شناسایی سه مورد حمله با جاسوس‌افزار مزدور علیه کاربران ایرانی

در اردیبهشت ماه ۱۴۰۴، سه مورد حمله سایبری هدفمند را شناسایی کردیم که با استفاده از جاسوس‌افزارهای مزدور (Mercenary Spyware) علیه شهروندان ایرانی انجام شده‌ (دو مورد در ایران و یک مورد در اروپا). برخی از اهداف  این حمله دارای سابقه فعالیت سیاسی طولانی مدت هستند. شواهد موجود حاکی از آن است که نمونه‌های بیشتری از استفاده این ابزار علیه ایرانیان وجود دارد. برای حفظ حریم خصوصی افرادی که هدف این حمله قرار گرفته‌اند، ما از ارائه جزییات بیشتر در مورد هویت آن‌ها خودداری می‌کنیم.

این نخستین‌بار است که شواهدی مستند از به‌کارگیری چنین ابزارهای فوق‌پیشرفته جاسوسی، چه در داخل ایران و چه علیه ایرانیان مقیم خارج از کشور، به‌دست آمده است.

بر اساس اطلاعات فنی و شواهد جمع‌آوری‌شده، ما معتقدیم موارد شناسایی‌ شده می‌توانند با حمله سایبری اخیر علیه نماینده پارلمان اروپا، هانا نیومن، مرتبط باشند. تحقیقات در این رابطه ادامه‌ دارد؛ با این‌حال نشانه‌هایی وجود دارد که این جاسوس‌افزارها ممکن است از طریق یکی از کشورهای همسایه ایران در اختیار نهادهای ایرانی قرار گرفته باشند.

حملات با جاسوس‌افزار مزدور، مانند آنچه با ابزارهایی چون Pegasus از شرکت NSO Group دیده شده، از پیشرفته‌ترین و پرهزینه‌ترین انواع حملات سایبری هستند که معمولاً تنها توسط عوامل دارای منابع گسترده مالی و فنی و علیه اهداف خاص انجام می‌شوند. این حملات می‌توانند کنترل کامل دستگاه، دسترسی به ارتباطات، داده‌های حساس، موقعیت مکانی و حتی فعال‌سازی میکروفن و دوربین هدف را در اختیار مهاجم قرار دهند.

ما پیش‌بینی می‌کنیم که موارد بیشتری از استفاده این نوع ابزار علیه کاربران ایرانی، چه در داخل و چه در خارج از کشور، شناسایی شود. از این رو، جامعه مدنی، رسانه‌ها، و نهادهای مدافع حقوق دیجیتال باید نسبت به گسترش این تهدید جدید، هوشیارانه و هماهنگ واکنش نشان دهند.

سازمان‌ها و نهادهای مدنی اصلی‌ترین هدف نهادهای امنیتی

داده‌ها نشان می‌دهد که تعداد درخواست‌های فردی برای حمایت دیجیتال در نیم‌سال نخست ۲۰۲۵ با رشدی بی‌سابقه—بیش از ۷۲۰٪—همراه بوده است. این جهش نگران‌کننده حاکی از آن است که تهدیدهای سایبری دیگر صرفاً محدود به فعالان شناخته‌شده نیست و دامنه‌ی سرکوب به لایه‌های وسیع‌تری از جامعه کشیده شده است.

در میان متقاضیان، مخالفان سیاسی با ۱۸٪ بیشترین سهم را داشتند، و پس از آن هنرمندان و فعالان حقوق زنان (هر کدام ۱۴٪)، روزنامه‌نگاران (۹٪) و فعالان حقوق اقلیت‌های قومی (۸٪) قرار گرفتند. سایر گروه‌ها از جمله دانشجویان، مدافعان حقوق بشر، اقلیت‌های دینی، فعالان حقوق دیجیتال و کارگران نیز بین ۱٪ تا ۳٪ را تشکیل می‌دهند. این آمار، گویای گسترش ابعاد تهدیدهای دیجیتال و سرکوب سیستماتیک در سطوح مختلف جامعه مدنی ایران است.

تشدید سرکوب به بهانه جنگ

جنگ دوازده‌روزه میان ایران و اسرائیل تنها یک بحران ژئوپلیتیک نبود، بلکه یک نقطه عطف در تشدید تهدیدات سایبری، نقض حریم خصوصی و آسیب‌پذیری ساختاری فضای دیجیتال ایران به شمار می‌آید. در این بازه، اختلال شدید اینترنت، انسداد ابزارهای ارتباطی بین‌المللی و فیلترینگ گسترده، وضعیت امنیت دیجیتال کاربران را به‌شدت تضعیف کرد.

تهدید کاربران اینترنت و دنبال‌کنندگان اکانت‌های منسوب به اسرائیل

کاربران اینترنت پیامک‌هایی را دریافت کردند که در آن نسبت به عضویت و یا دنبال کردن صفحه‌های شبکه‌های اجتماعی یا حساب‌های کاربری منسوب به اسرائیل (مانند رسانه‌ها، خبرنگاران یا نهادهای رسمی) تهدید شده بودند. هدف از این اقدامات، ایجاد فضای رعب و خودسانسوری، جلوگیری از دسترسی آزاد به اطلاعات و برچسب‌زنی امنیتی به منتقدان یا روزنامه‌نگاران مستقل است. این رویکرد همچنین بخشی از تلاش‌های گسترده‌تر حکومت برای کنترل جریان اطلاعات و محدود کردن ارتباطات کاربران با منابع بین‌المللی تلقی می‌شود.

• انسداد زیرساختی و تاثیرات ثانویه بر امنیت حساب‌ها

قطع ورودی ترافیک بین‌المللی، مسدودسازی تماس‌ها و پیامک‌های خارجی و اخلال در عملکرد ابزارهای VoIP، عملاً باعث ناتوانی بسیاری از کاربران در دریافت کدهای تأیید هویتی (OTP و رمزهای دو مرحله‌ای) شد. این اختلال‌ها صرفاً یک مسئله فنی نبودند، بلکه به‌عنوان اختلال هدفمند در فرآیند احراز هویت عمل کردند. بر پایه داده‌های موجود، نزدیک به ۱۲٪ از پرونده‌های ثبت‌شده در این بازه به از دست رفتن دسترسی به حساب‌های  اجتماعی به‌دلیل عدم دریافت این کدها مربوط می‌شود.

از سوی دیگر، در شرایطی که نصب و استفاده از پیام‌رسان‌های امن مانند سیگنال مستلزم دریافت کد فعال‌سازی است، اختلال عمدی در ارسال کدهای OTP عملاً به‌منزله محروم‌سازی کاربران از ارتباطات امن و رمزگذاری‌شده بود. این وضعیت، کاربران را ناچار به استفاده از شماره‌های مجازی یا ابزارهای غیربومی ناامن کرده و سطح تهدید را افزایش داد.

استفاده گسترده از فیلترشکن و افزایش ریسک

با تشدید محدودیت‌های اینترنتی، نیاز به فیلترشکن به‌طور قابل‌توجهی افزایش یافت. بیش از ۳۲٪ از مراجعه‌کنندگان در این دوره، درخواست فیلتر‌شکن داشته‌اند. چنین شرایطی نه‌تنها نشانه نقض دسترسی آزاد به اطلاعات است، بلکه کاربران را در معرض خطر استفاده از ‌VPNهای آلوده، جعلی یا کنترل‌شده توسط نهادهای امنیتی قرار می‌دهد؛ موضوعی که سابقه آن در کمپین‌های سایبری جمهوری اسلامی به‌دفعات ثبت شده است.

• سرکوب دیجیتال همزمان با فشار فیزیکی

هم‌زمان با کاهش درگیری‌های نظامی و نزدیک شدن آتش‌بس، تهدیدات امنیتی علیه فعالان جامعه مدنی ابعاد جدی‌تری یافت. بیش از ۲۲٪ از پرونده‌های مرتبط با جنگ، به تهدیدات مستقیم حساب‌های کاربری فعالان جامعه مدنی اختصاص دارند؛ از جمله بازداشت، احضار، یا توقیف دستگاه‌هایی که به‌واسطه‌ی آن‌ها فعالیت دیجیتال صورت می‌گرفت. این روند نشان می‌دهد که تهدیدات دیجیتال، برخلاف تصور عمومی، پس از پایان فاز فیزیکی جنگ نه‌تنها کاهش نمی‌یابند، بلکه با تمرکز بیشتر و ابزارهای دقیق‌تر ادامه می‌یابند.

• هدف‌گیری گزینشی اقلیت‌ها و هنرمندان

در میان گروه‌های اجتماعی، اقلیت بهایی بیشترین سهم از تهدیدات حساب‌های کاربری را به خود اختصاص داده است. ۱۲٪ از پرونده‌ها مربوط به این گروه بوده و در نیمی از آن‌ها ضبط دستگاه‌های شخصی (تلفن، لپ‌تاپ، یا رایانه) گزارش شده است. این مسأله نه‌تنها نقض حق حریم خصوصی است، بلکه بیانگر پایش سیستماتیک دیجیتال اقلیت‌های مذهبی در پوشش بحران‌های ملی است.

هنرمندان نیز با ۱۱٪ از کل پرونده‌ها، دومین گروه هدف در جریان جنگ محسوب می‌شوند. داده‌ها نشان می‌دهد که عکاسان و مستندسازان، به‌ویژه آن‌هایی که سابقه فعالیت در فضای اعتراضی داشتند، بیش از دیگران با تهدید مواجه بوده‌اند. این حملات نشان‌دهنده‌ی تلاقی بین کنترل اطلاعات تصویری، سرکوب روایت‌سازی مستقل و محدود‌سازی گردش اطلاعات بصری در شرایط جنگی است.

سرکوب سخت‌تر زنان در شش ماهه گذشته

بر اساس داده‌های ما در شش ماهه اول سال ۲۰۲۵ سرکوب زنان افزایش یافته است. تعداد پرونده‌هایی که در این بازه زمانی توسط زنان ثبت شده نرخ رشد ۲.۷۳٪ داشته است. در حالی‌ که در شش ماهه دوم سال ۲۰۲۴ حدود ۴۴٪ از موارد نقض حقوق دیجیتال توسط زنان گزارش شده است. در همان بازه زمانی نزدیک به ۵۵٪ از پرونده‌ها به مردان تعلق داشت.

تعداد پرونده‌های ثبت شده توسط زنان اما با رشد قابل توجهی مواجه و به بیش از ۴۶٪ افزایش یافت.

این داده‌ها، با اخبار منتشر شده پیرامون سرکوب شدید‌تر زنان در شش ماهه اول سال ۲۰۲۵ همخوانی دارد. در این بازه زمانی حدود ۶۰ فعال زن بازداشت شدند؛ همچنین دست‌کم ۱۲ حکم اعدام، ۱۹ حکم زندان در فروردین و ۲۹ سال و ۴ ماه حبس در می برای فعالان زن صادر شده است.
همچنین سازمان عفو بین‌الملل تایید کرده است که در شش ماهه اول سال ۲۰۲۵ اقدام به بازداشت‌های خودسرانه، خشونت جنسی، و شکنجه (از جمله شلیک و فلج کردن) علیه زنان معترض کرده است.

همچنین نزدیک به ۲۰٪ از پرونده‌های ثبت شده توسط سازمان‌ها و افراد فعال در حوزه حقوق زنان بود. این در حالی‌ست که در شش ماهه دوم سال ۲۰۲۴ تنها ۱۵٪ از درخواست‌ها برای حمایت دیجیتال از سوی این گروه از فعالان مدنی طرح شده بود.

مقایسه تعداد درخواست‌های سازمانی به تفکیک حوزه فعالیت

اقلیت‌های قومی در ایران همچنان آماج حملات سایبری

اقلیت‌های قومی همچنان در معرض حملات سایبری نهادهای امنیتی جمهوری اسلامی قرار دارند، اما در نیم‌سال نخست ۲۰۲۵ الگوی این حملات دچار تغییرات معناداری شده است.

در زمستان و بهار ۲۰۲۵، فشارهای امنیتی بر اقلیت ترک افزایش یافته و استان‌های آذربایجان شرقی و غربی به کانون‌های تازه‌ای از سرکوب سایبری تبدیل شده‌اند. بیش از ۱۲٪ از پرونده‌های ثبت‌شده مربوط به کاربران این دو استان بوده، در حالی‌که این رقم در نیمه دوم سال ۲۰۲۴ تنها ۲.۵٪ بود. این جهش، هم‌زمان با برگزاری مراسم‌ هویت‌محور مانند نوروزی و تجمعات هواداری تیم تراکتور صورت گرفت که با سرکوب خشن و گسترده امنیتی همراه بود. رسانه‌های حقوق بشری مانند هه‌نگاو، سازمان حقوق بشر ایران و کردپا بارها نسبت به افزایش سرکوب در این مناطق هشدار داده‌اند.

در مقابل، حملات سایبری علیه اقلیت بلوچ کاهش یافته است. در حالی‌که در نیمه دوم ۲۰۲۴ بیش از ۹٪ از گزارش‌ها مربوط به کاربران بلوچ بود، این رقم در نیم‌سال اول ۲۰۲۵ به ۲.۵٪ کاهش یافته است.

همچنین تمرکز نهادهای امنیتی بر سرکوب ساختاریافته‌ سازمان‌های مدنی مدافع حقوق اقلیت‌های قومی نیز افزایش یافته است. در این دوره، ۴۵٪ از درخواست‌های حمایتی از سوی سازمان‌ها و تنها ۸٪ از سوی افراد فعال در این حوزه ثبت شده‌اند. این در حالی‌ست که در تابستان و پاییز ۲۰۲۴ نسبت افراد به سازمان‌ها معکوس بود (۲۰٪ افراد، ۱۳٪ سازمان‌ها). این چرخش نشان‌دهنده تمرکز تازه‌ی نهادهای امنیتی بر تضعیف زیرساخت‌های جمعی و نهادینه‌ی حمایت از حقوق اقلیت‌ها است.

الگوی هدف قرار گرفتن حساب‌های کاربری در پلتفرم‌ها

اینستاگرام، تلگرام و توییتر، سه پلتفرم اصلی هستند که بیشترین فشار و هدف‌گیری را در نیمه اول ۲۰۲۵ داشته‌اند. این داده نشان می‌دهد که شبکه‌های پیام‌رسان و اجتماعی همچنان ابزارهای اصلی ارتباطی کاربران هستند و بیشترین حساسیت امنیتی را برانگیخته‌اند. مقایسه بین داده‌های ثبت شده در نیمه دوم سال ۲۰۲۴ و نیمه اول ۲۰۲۵ نشان دهنده نرخ رشد قابل توجه حملات سایبری به پلتفرم‌های مختلف بوده است.

افزایش حملات سایبری به جی‌میل کاربران نشان‌دهنده تمرکز بیشتر بر حساب‌های ایمیل، شاید برای مهندسی اجتماعی، نفوذ یا نظارت است. ورود پلتفرم‌هایی مثل یوتیوب، لینکدین و یاهو به لیست اهداف نهادهای امنیتی نیز، نشان از گسترش دامنه هدف‌گیری دارد.

حملات سایبری

حملات سایبری نهادهای امنیتی با هدف سرکوب دیجیتال، بیشترین سهم از تهدیدات را به خود اختصاص دادند و در مقایسه با نیمه دوم سال ۲۰۲۴، رشد چشم‌گیری داشته‌اند. بر اساس تحلیل پرونده‌های ثبت شده در زمستان و بهار ۲۰۲۵ حملات سایبری با افزایشی ۲.۳٪ همراه بودند.

نمونه‌های حملات سایبری

ما در مجموع ۸۰ گزارش مربوط به حملات سایبری دریافت کرده‌ایم. بیشتر این حملات ترکیبی از حملات فیشینگ و جعل هویت بود که با استفاده از روش مهندسی اجتماعی موفق به  جلب اعتماد اهداف برای ورود به لینک آلوده شدند.

بررسی الگوهای حمله نشان می‌دهد که مهاجمان از تکنیک‌های کلاسیک فیشینگ عبور کرده و به جعل ساختارهای اعتماد اجتماعی، تقلید از لحن شخصی و حرفه‌ای و بهره‌برداری از آسیب‌پذیری‌های پلتفرم‌ها متوسل شده‌اند. هدف این حملات فراتر از نفوذ ساده به حساب‌های کاربری است؛ متولیان این حملات به‌دنبال دسترسی به شبکه‌های ارتباطی، اطلاعات محرمانه و در نهایت ایجاد فضای رعب‌آور برای محدود کردن کنشگری دیجیتال هستند.

حملات سازمان‌یافته به هنرمندان

حملات علیه هنرمندان نه‌تنها ابزار دسترسی به مخاطبان وسیع‌تر بودند، بلکه بخشی از راهبرد امنیتی-اطلاعاتی نهادهای حکومتی برای انزوای فرهنگی و خاموش کردن صدای نمادهای عمومی اعتراضات محسوب می‌شوند. استفاده از هنرمندان برای نفوذ به حلقه‌های بعدی، نشان‌دهنده‌ یک تفکر زنجیره‌ای در طراحی حمله است.

نفوذ و جمع‌آوری اطلاعات از فعالان حقوق بشر و حقوق زنان

این دسته از حملات نشان می‌دهد که مهاجمان به جاسوسی فعال و شبکه‌ای روی آورده‌اند و تنها به هک حساب‌ها رضایت نمی‌دهند، بلکه به‌دنبال بازسازی نقشه ارتباطی، شناسایی ساختارهای جمعی و اختلال در فعالیت‌های حقوق بشری هستند. سکوت قربانی در یک نمونه‌ی خاص، منجر به افزایش شعاع نفوذ مهاجمان شد که اهمیت پاسخ فوری و حمایت سریع امنیتی را برجسته می‌کند.

نقش‌آفرینی هنرمندان در اعتراضات سیاسی-اجتماعی سال‌های اخیر، بخصوص اعتراضات «زن،زندگی،آزادی» موجب شد که این گروه اجتماعی به یکی از اهداف اصلی نهادهای امنیتی-قضایی تبدیل شود. داده‌های خط کمک‌های فوری امنیت دیجیتال نشان می‌دهد که سرکوب دیجیتال و شناسایی ارتباطات هنرمندان برای نهادهای امنیتی از اهمیت ویژه‌ای برخوردار است.

جعل هویت نهادهای بین‌المللی و رسانه‌ها

این الگوها نشان‌دهنده‌ی حملات پیشرفته‌تر و برنامه‌ریزی‌شده‌تر هستند. جعل دقیق لحن، امضا و حتی محتوا نشان می‌دهد که مهاجم با پیش‌آگاهی دقیق از سوابق، موقعیت حرفه‌ای و علایق قربانی وارد عمل شده است، و قصد دارد با حمله‌ای تدریجی و هدفمند به دارایی‌های دیجیتال او نفوذ کند.

در یکی از نمونه‌های مستند، هویت یکی از خبرنگاران ارشد بی‌بی‌سی فارسی جعل شده بود تا از طریق تماس مستقیم با مدیر شبکه خبری ایران‌اینترنشنال، او را فریب دهند و دسترسی به حساب‌های کاربری‌اش را به‌دست آورند. این حمله در بستری انجام شد که از مدت‌ها قبل با تهدیدهای مکرر علیه خبرنگاران رسانه‌های فارسی‌زبان همراه بوده است. شایان ذکر است که شبکه ایران‌اینترنشنال، که از سوی دولت ایران به‌عنوان «شبکه‌ای تروریستی» معرفی شده، تایید کرده که دست‌کم در دو نوبت در ماه‌های اخیر مورد حمله سایبری قرار گرفته است.

این موارد نشان می‌دهد که حمله‌کنندگان نه‌تنها با اطلاعات دقیق در مورد روابط میان نهادهای رسانه‌ای و افراد کلیدی عمل می‌کنند، بلکه از جنگ شناختی هدفمند برای تضعیف امنیت روانی و عملیاتی نهادهای خبری مستقل نیز بهره می‌برند.

بهره‌برداری از شرایط اقتصادی برای فیشینگ شغلی

حملات با وعده شغلی، نشان‌دهنده‌ی تطبیق مهاجمان با زمینه‌های روانی-اجتماعی قربانیان است. این روش ترکیبی از مهندسی اجتماعی و جنگ شناختی است که آسیب‌پذیری اقتصادی را به یک نقطه ورودی برای حمله تبدیل می‌کند.

دستکاری الگوریتمی و محدودسازی حساب‌های فعال

این حملات مبتنی بر سوءاستفاده از معماری پلتفرم‌ها هستند. بدون نیاز به نفوذ مستقیم، مهاجمان می‌توانند از طریق عملیات هماهنگ‌شده رفتارهای خودکار سیستم‌ها را علیه فعالان به کار بگیرند. نوعی سرکوب دیجیتال در سطح الگوریتمی.

نفرت‌پراکنی، تهدید مستقیم و جعل رسانه‌ای

در این مرحله، تهدیدات سایبری از سطح نفوذ فنی فراتر رفته و به عرصه‌ی عملیات اطلاعاتی و جنگ روانی وارد شده‌اند. هدف این حملات دیگر صرفاً ایجاد اختلال نیست، بلکه تخریب چهره‌ اجتماعی، حذف نمادهای اثرگذار، و ایجاد فضای رعب و بی‌اعتمادی در میان جامعه مدنی را دنبال می‌کند.

یکی از نشانه‌های این تغییر، افزایش قابل توجه پرونده‌های مرتبط با «مدیریت محتوا» است که ۳۹ درصد از کل گزارش‌ها را شامل می‌شود. این حملات اغلب با هدف کنترل حساب‌های کاربران و بهره‌برداری از آن‌ها برای انتشار اطلاعات جعلی، تحریف روایت‌ها، یا ترور شخصیتی انجام می‌گیرد.

بیشترین سهم این تهدیدها مربوط به اینستاگرام با ۵۳ درصد، پس از آن توییتر  با ۳۲ درصد، و سپس تلگرام با ۱۴ درصد است. این ارقام نشان می‌دهد که پلتفرم‌های اجتماعی اصلی به میدان‌های نبرد روانی علیه جامعه مدنی بدل شده‌اند.

تهدیدات اجتماعی

تهدیدات اجتماعی، یکی از ابعاد کمتر فنی اما عمیقاً سرکوب‌گر جنگ سایبری جمهوری اسلامی، مجموعه‌ای از اقدامات هدفمند برای کنترل شهروندان و تحمیل الگوهای خاص سبک زندگی است. این اقدامات شامل توقیف حساب‌های کاربری در شبکه‌های اجتماعی، ارسال پیامک‌های تهدیدآمیز به زنان بدون حجاب اجباری، توقیف سیم‌کارت، فریب سایبری و فشارهای روانی علیه کاربران به دلیل انتشار محتوای مغایر با هنجارهای حکومتی است. تمرکز اصلی این سرکوب‌ها بر زنان و اقلیت‌های اجتماعی بوده که نه تنها آزادی بیان، بلکه حریم خصوصی آن‌ها را نیز به‌شدت نقض کرده است.

افزایش بی‌سابقه‌ای در توقیف حساب‌های اینستاگرامی به ثبت رسانده‌ایم که زنان هدف اصلی آن بوده‌اند. دلیل غالب این توقیف‌ها عدم رعایت «حجاب اجباری» (۵۷٪) و پس از آن «عدم رعایت سبک زندگی اسلامی» (۱۵٪) بوده است. محتوای جنسی و سیاسی تنها هر کدام ۴٪ را تشکیل داده‌اند، که نشان‌دهنده تمرکز شدید تهدیدات بر کنترل فرهنگی و جنسیتی است.

در میان موارد مستند، توقیف گسترده حساب‌های زنان خواننده، به‌ویژه پس از انتشار کنسرت «کاروانسرا» توسط پرستو احمدی در زمستان ۱۴۰۳، قابل توجه است؛ به‌طوری که نزدیک به ۱۲٪ از تمام حساب‌های توقیف‌شده در این بازه، به زنان خواننده مربوط بوده است.

دامنه توقیف‌ها اما تنها به افراد محدود نبوده و سازمان‌ها، برندها، شرکت‌ها و برگزارکنندگان رویدادهایی با محوریت زنان نیز هدف قرار گرفته‌اند. شرکت‌هایی مانند «سه‌نان»، «مای‌لیدی»، و برگزارکنندگان مراسم «جوایز ملی معماری» به دلیل انتشار تصاویر زنان بدون حجاب، توقیف شده یا مجبور به واگذاری کنترل حساب‌های خود به نهادهای امنیتی شدند. همچنین، سازندگان ویدیوهای «بلایند دیت» و فعالان مرتبط نیز پس از بازداشت چهره‌هایی چون «وینی» هدف توقیف حساب‌ها در اینستاگرام و یوتیوب قرار گرفتند.

بر اساس داده‌های جمع‌آوری‌شده، «فراجا» با ۵۱٪ بیشترین نقش را در توقیف اکانت‌ها داشته، در حالی‌که در ۳۲٪ موارد، نهاد مسئول مشخص نشده و پلیس فتا و پلیس امنیت عمومی به ترتیب ۹٪ و ۶٪ از اقدامات را بر عهده داشته‌اند.

هم‌زمان، ارسال پیامک‌های تهدیدآمیز به زنان بدون حجاب، که از ۱۴۰۲ آغاز شده بود، در زمستان ۱۴۰۳ شدت گرفت و از اصفهان به شهرهای دیگر گسترش یافت. بررسی داده‌های خط فوریت‌های امنیت دیجیتال گروه میان با همکاری سازمان اتحاد برای ایران نشان می‌دهد که این اقدامات با بهره‌گیری از فناوری‌های پیشرفته نظارتی مانند IMSI-Catcher انجام می‌شود. این ابزارها، با شناسایی موقعیت و مشخصات کاربران، پیش از ارسال پیامک‌، موجب اختلال موقت در اینترنت موبایل می‌شوند. ۶٪ از پاسخ‌دهندگان نظرسنجی چنین اختلالی را تأیید کرده‌اند.

تهران با ۴۲٪، اصفهان با ۲۹٪ و شیراز با ۹٪، بیشترین سهم از پیامک‌های تهدیدآمیز ثبت‌شده در بهار ۱۴۰۴ را به خود اختصاص داده‌اند. بیشترین فراوانی پیامک‌ها در اردیبهشت‌ماه بوده است. اگرچه دولت در خرداد، هم‌زمان با حمله اسرائیل به ایران، اعلام کرد که این روند متوقف می‌شود، اما داده‌ها از استمرار فشارها خبر می‌دهند. در برخی موارد، پیامک‌ها تنها به تهدید محدود نشده و ۱۲٪ از دریافت‌کنندگان به نهادهای قضایی ارجاع شده‌اند.

مجموعه این داده‌ها نشان می‌دهد که جمهوری اسلامی در تلاش است تا با بهره‌گیری از ابزارهای سایبری، نظارتی، و پلیسی، سبک زندگی، حریم شخصی، و فضای فرهنگی جامعه را تحت کنترل کامل درآورد؛ و در این میان، زنان بیش از همه در معرض تهدید مستقیم قرار دارند. اگرچه پس از حمله اسرائیل به ایران ارسال پیامک‌های تهدید‌آمیز به زنان به دلیل پوشش متوقف شد.

شاخص‌های نفوذ

URLs:

https://votescontests[dot]tranoclassic.com/

https://cvote[dot]famlagstrom.se

https://telrgram[dot]chat/

https://telvgram[dot]life/

https://shorten[dot]ee/@help_center_6639

https://teleok[dot]org

https://teleomm[dot]sbs/dist/

https://teinfo[dot]vip/

https://telrgram[dot]chat

https://joining-hosts-room[dot]online

https://www.mediafire[dot]com/folder/x5ctohdrdibok/Files

IPs:

۱۸۵.۱۵۱.۳۰.۲۲۲

۷۷.۲۳۸.۱۷۹.۸۲

۱۰۴.۲۱.۱۶.۱

۱۰۴.۲۱.۴۵.۷۳

۱۹۸.۵۴.۱۲۷.۷۸

۲۰۹.۸۵.۲۲۰.۴۱

۱۰۴.۲۱.۱۶.۱

۱۰۳.۴۲.۱۷۹.۶۰

۱۰۳.۴۲.۱۷۹.۶۰

۹۲.۱۱۸.۱۴۷.۳۵

۹۱.۱۹۵.۲۴۰.۱۹

۱۸۵.۲۰۱.۱۸.۵۵

Emails:

help11223311[at]outlook.com

fxyfgg[at]gmail10p.com

owieoi[at]oegmail.com

isaaceboh70[at]gmail.com

emailvote337[at]gmail.com

richardjohn8673[at]gmail.com

cavallariopgn614120[at]hotmail.com

greenwellkaren95[at]yahoo.com

karen[at]msmagazine.co

careers[at]wa-staffing.network

brett[at]beardesigns.com.au

Files: kitchen.exe, 2fe9ecdbd7c97bd732ad81b5fd3e4961ea6f25d3fd04b5ed881c436118cce3b9