في ظل تصاعد التوترات الإقليمية وانتقال المواجهات إلى الفضاء السيبراني، أعلنت مجموعة "حنظلة" تنفيذ هجوم وُصف بأنه غير مسبوق استهدف البنى التحتية الحيوية للحكومة الإماراتية، في خطوة تعكس تحولاً لافتاً في نطاق عملياتها واتجاهاتها.

 ووفقاً لبيان المجموعة، فإن العملية جاءت في سياق ما اعتبرته "رداً وتحذيراً" لدول المنطقة، مشيرة إلى أنها استهدفت مؤسسات تمثل عصب المنظومة الاقتصادية والقانونية والخدمية في الدولة، مع الإعلان عن تدمير كميات ضخمة من البيانات وتسريب أخرى شديدة الحساسية.

وجاء في البيان تفاصيل الهجوم السيبراني على البنى التحتية لحكومة الإمارات على النحو التالي:

"خلال هذه العملية، تم تدمير 6 بيتابايت من البيانات بشكل كامل وغير قابل للاسترداد، وتم استخراج 149 تيرابايت من الوثائق الأكثر سرية وحساسية من قلب ثلاث مؤسسات إماراتية رئيسية: إدارة محاكم دبي، إدارة أراضي دبي، إدارة الطرق والمواصلات في دبي"

وتابع البيان "تمثل هذه المؤسسات الشرايين الحيوية الاقتصادية والقانونية والبنية التحتية للإمارات، والاختراق فيها هو رسالة واضحة لجميع الحكومات التي تظن خطأً أنها بعيدة عن متناول رد المقاومة".

ويرى المراقبون أن هذا الإعلان لا يمكن فصله عن المسار التصاعدي لنشاط "حنظلة" منذ ظهورها، ولا عن نمط العمليات الذي يجمع بين الاختراق والتسريب والتأثير النفسي، ما يطرح تساؤلات أوسع حول طبيعة هذه الجماعة، وحدود دورها في الصراع الإقليمي، وما إذا كانت تمثل فاعلاً مستقلاً أم أداة ضمن شبكة أوسع من الحروب غير التقليدية التي باتت تتشكل في المنطقة.

برزت مجموعة "حنظلة" رسميًا في ديسمبر 2023 كواحدة من أكثر التشكيلات السيبرانية إثارة للجدل في سياق الصراع الإقليمي، وقدمت نفسها كحركة منحازة لفلسطين ومرتبطة بما يُعرف بـ"محور المقاومة"، مستلهمة اسمها من شخصية "حنظلة" الكاريكاتيرية التي ترمز إلى الصمود الفلسطيني، غير أن هذا الخطاب المعلن يتقاطع مع تقييمات غربية ترى في المجموعة واجهة غير مباشرة لوزارة الاستخبارات والأمن الإيرانية، تُوظف في تنفيذ عمليات ذات طابع استخباراتي ونفسي يتجاوز النشاط الاحتجاجي التقليدي.

من حيث طبيعة العمل، تتبنى "حنظلة" نمطاً مركباً من العمليات السيبرانية يجمع بين الاختراق والتسريب، حيث تعتمد بشكل أساسي على أسلوب سرقة البيانات ثم نشرها لتحقيق تأثير إعلامي وضغط سياسي. وتستهدف في المقام الأول مؤسسات إسرائيلية تشمل مسؤولين سياسيين، والجيش، والبنى التحتية، إلى جانب شركات دفاع وصحة، قبل أن توسع نطاق عملياتها لاحقاً ليشمل شركات أمريكية كبرى، وأهدافاً في بعض دول الخليج مثل الإمارات والسعودية والأردن.

تعتمد المجموعة في تنفيذ هجماتها على مزيج من الأدوات والتقنيات، من بينها برمجيات تدميرية تُستخدم لمسح البيانات وتعطيل الأنظمة، وغالباً ما يتم نشرها عبر منصات إدارة مثل Microsoft Intune أو من خلال هجمات تصيّد إلكتروني، كما تنفذ عمليات اختراق للهواتف الشخصية والبريد الإلكتروني، إلى جانب تخريب المواقع الإلكترونية ونشر البيانات الشخصية للضحايا.

نشاط المجموعة لا يقتصر على الجانب التقني، بل يمتد إلى الفضاء الإعلامي، حيث تعتمد على منصات مثل تليجرام ومواقع إلكترونية مخصصة لنشر التسريبات والبيانات، فضلاً عن استخدامها منصة "إكس" للترويج لعملياتها.

 وقد تعرضت بعض هذه المنصات للمصادرة من قبل الولايات المتحدة في مارس 2026، في إطار جهود الحد من نشاطها.

على مستوى العمليات، بدأت "حنظلة" باستهدافات إسرائيلية خلال عام 2024، من بينها هجوم ببرمجيات الفدية على كيبوتس "Ma’agan Michael" الذي أسفر عن سرقة 22 جيجابايت من البيانات، إلى جانب إرسال آلاف الرسائل التحذيرية. كما طالت هجماتها شركات مرتبطة بالصناعات الدفاعية والتكنولوجية مثل DRS RADA وZerto.

في عام 2025، شهد نشاط المجموعة تصعيداً نوعياً، خاصة مع عملية "Operation Octopus" في ديسمبر، التي استهدفت هاتف رئيس الوزراء الإسرائيلي السابق نفتالي بينيت، حيث تم تسريب محتويات واسعة شملت جهات اتصال وصوراً ومحادثات. 

وتكررت عمليات مشابهة ضد شخصيات بارزة أخرى، من بينها رئيس مكتب رئيس الوزراء ووزيرة داخلية سابقة، مع نشر مواد شخصية بشكل مكثف، كما شملت التسريبات مؤسسات حساسة مثل معهد وايزمان للعلوم وشركات طاقة ومراكز بحثية ذات طابع استراتيجي.

وفي أكتوبر من العام نفسه، أطلقت المجموعة منصة "handala-redwanted.to" التي تقدم ما يشبه "مكافآت" على أنشطة التجسس السيبراني، في مؤشر على انتقالها من مجرد تنفيذ عمليات إلى محاولة بناء شبكة أوسع من الفاعلين.

بلغ نشاط "حنظلة" ذروته خلال التصعيد الإقليمي في 2026، حيث وسّعت نطاق عملياتها لتشمل أهدافاً أمريكية بشكل مباشر، من أبرز هذه الهجمات استهداف شركة Stryker Corporation في مارس، في عملية وُصفت بأنها من أقوى الهجمات التدميرية المرتبطة بإيران، حيث أدت إلى مسح مئات الآلاف من الأجهزة عبر عشرات الدول، إلى جانب سرقة كميات ضخمة من البيانات، ورغم إقرار الشركة بحدوث الاختراق، فقد قللت من حجم الخسائر المعلنة.

وفي السياق ذاته، نفذت المجموعة سلسلة من الهجمات التي طالت مؤسسات إسرائيلية وأمريكية، شملت اختراقات لبريد شخصيات بارزة، ونشر بيانات مهندسين يعملون في شركات دفاعية، فضلاً عن استهداف خوادم عسكرية وشبكات صحية وأنظمة طاقة.

وفي أبريل أعلنت مجموعة "حنظلة" تنفيذ اختراق استهدف هاتف رئيس الأركان الإسرائيلي السابق هرتسي هاليفي، وبحسب ما أعلنته المجموعة، فقد تمكنت من الوصول إلى أكثر من 19 ألف ملف مخزن على الجهاز، تتنوع بين صور ومقاطع فيديو ووثائق وخرائط وبيانات شخصية، تعود إلى فترات زمنية ممتدة، كما قامت بنشر عينات من هذه المواد، شملت صوراً شخصية بعضها وُصف بأنه غير ملائم، إلى جانب لقطات لاجتماعات وُصفت بالحساسة، من بينها زيارة إلى الأردن ولقاءات مع مسؤولين عسكريين، فضلاً عن اجتماعات في قطر مع قائد أمريكي.

وتشير طبيعة المواد المسربة، وفق ما تم تداوله، إلى احتوائها على معلومات يمكن توظيفها في سياقات استخباراتية لاحقة، سواء على مستوى تحليل العلاقات أو استهداف شخصيات ومواقع ذات صلة.

وتشير المعطيات العامة إلى أن نشاط "حنظلة" يتصاعد بالتوازي مع التوترات السياسية والعسكرية في المنطقة، حيث غالباً ما تتزامن عملياتها مع أحداث ميدانية كبرى، ما يعزز فرضية استخدامها كأداة في الحرب غير التقليدية. 

وفي هذا السياق، اتخذت الولايات المتحدة خطوات مباشرة ضدها، شملت مصادرة منصاتها الإلكترونية والإعلان عن مكافأة مالية كبيرة مقابل معلومات عن أعضائها.

ورغم أن بعض العمليات المنسوبة إلى المجموعة لا تزال غير مؤكدة بشكل كامل، فإن جزءاً منها حظي بإقرار جزئي من جهات متضررة أو سلطات رسمية، ما يعكس مزيجاً من الحرب السيبرانية والدعاية النفسية التي باتت تشكل أحد أبرز ملامح الصراع الإقليمي في مرحلته الحالية.