"פתיחת הקובץ אפשרה חדירה שקטה למערכות"
המתיחות בין המעצמות באה לידי ביטוי גם בזירת הסייבר: מערכת מבוססת בינה מלאכותית חשפה קמפיין ריגול סייבר סיני פעיל שהתבסס על זיוף מסמכים דיפלומטיים אמריקאים ובין-לאומיים. התקיפה כוונה לגורמים דיפלומטיים ואנשי ממשל באירופה ובאסיה, כך מפרסמת חברת הסייבר הישראלית דרים
חברת הסייבר הישראלית Dream, שהוקמה על ידי מייסד NSO שלו חוליו, חשפה קמפיין ריגול סייבר סיני פעיל ומתוחכם. הקמפיין התבסס על זיוף מסמכים דיפלומטיים אמריקאיים ובין-לאומיים, וכיוון נגד גורמים מדיניים ואנשי ממשל באירופה ובאסיה. לפי החברה, הפעילות זוהתה ונותחה בזמן אמת באמצעות מערכת בינה מלאכותית מתקדמת, ללא צורך בהתערבות אנושית.
לפי ממצאי הדוח, בין סוף דצמבר 2025 לאמצע ינואר 2026 פעל קמפיין חשאי שהתבסס על חיקוי מדויק של שיח דיפלומטי יום-יומי. ההודעות והמסמכים נראו כתכתובות שגרתיות בין גורמי ממשל ודיפלומטיה, וחלקם התחזו לחומרים המועברים מטעם גופים אמריקאיים ובין-לאומיים. המסמכים כללו עדכוני מדיניות, בריפים פנימיים וסיכומי פגישות, שנשענו על התפתחויות גיאו-פוליטיות עכשוויות, ובהן בחירות בקוסובו, פגישות בין ארה"ב למדינות הבלקן, היערכות לפורום בין-לאומי בהודו ושיחות מדיניות בדרום-מזרח אסיה.
המסמכים עוצבו ונוסחו כך שייראו כחומרים רשמיים המועברים בין משרדי חוץ, שגרירויות ולשכות נשיאות, כאשר הייחוס האמריקאי לא היה מקרי. ב-Dream מציינים כי בזירה הדיפלומטית מסמכים שמזוהים עם פעילות אמריקאית נתפסים כסמכותיים, עדכניים ואמינים, מה שהגביר את הסיכוי שהיעדים יפתחו אותם ללא חשד. מאחורי המעטפת האמינה הסתתר פיתיון אחד פשוט: פתיחת הקובץ, שהספיקה כדי לאפשר חדירה שקטה למערכות היעד.
מאחורי הקמפיין עמדה גרסה מתקדמת של כלי ריגול מוכר בשם PlugX, המזוהה לאורך שנים עם פעילות סייבר של קבוצות תקיפה סיניות. הפעילות מיוחסת, בין היתר, לקבוצה המכונה Mustang Panda, הפועלת בזירה הבין-לאומית למעלה מעשור ומתמקדת באיסוף מודיעין מגורמי ממשל, יחסי חוץ ותהליכי קבלת החלטות מדינתיים. היעדים במקרה זה לא היו חברות מסחריות או אזרחים פרטיים, אלא גורמים המעורבים ישירות בעיצוב מדיניות ובפעילות דיפלומטית.
ייחודו של הגילוי טמון לא רק בתחכום הקמפיין, אלא גם באופן שבו נחשף. ב-Dream מדגישים כי הזיהוי והחקירה בוצעו בזמן אמת באמצעות מנגנוני בינה מלאכותית וכלי מחקר מתקדמים, ללא מעורבות של חוקרים אנושיים. הזיהוי הראשוני התרחש באמצע ינואר 2026, כאשר אחד ממנגנוני החברה איתר קובץ שנראה תמים לחלוטין, אך חרג מדפוסי פעילות לגיטימיים מוכרים. חיבור דגימות נוספות, מיפוי תשתיות וניתוח דפוסי פעולה אפשרו לבנות במהירות תמונת מודיעין מלאה של קמפיין ריגול פעיל ומתואם, בעודו מתרחש.
שלו חוליו, מייסד שותף ומנכ"ל Dream, מסר: "הקמפיין הזה ממחיש כיצד נראות היום מתקפות ריגול מדינתיות: לא ניסיונות פריצה חריגים, אלא אימיילים ומסמכים שנראים לגיטימיים לחלוטין. במקרה הזה, פתיחת קובץ אחד הספיקה כדי לאפשר 'ריגול שקט' בעל פוטנציאל נזק מדיני ובטחוני גדול. מה שמייחד את הגילוי הוא היכולת של Dream לזהות את הפעילות בזמן אמת באמצעות סוכני בינה מלאכותית, לחבר בין דגימות ותשתיות, ולהבין שמדובר בקמפיין פעיל בעודו מתרחש".
בדוח מציינים כי בניגוד למתקפות סייבר קלאסיות, הקמפיין לא נשען על ניצול פרצות תוכנה חריגות, אלא על אמון ועל היכרות עמוקה עם אופן העבודה של המערכת הדיפלומטית. לדבריהם, מדובר בדוגמה מובהקת לאופן שבו ריגול סייבר מדינתי בעידן הנוכחי מתמזג בשגרה הארגונית, ומקשה על זיהויו בזמן.