De gezamenlijke militaire operatie die op 28 februari werd gestart door de Verenigde Staten en Israël heeft directe reactie uitgelokt van het cyber ecosysteem dat loyaliteit toont aan Iran. Hiermee is een nieuw front van digitale confrontatie geopend dat verder gaat dan de regionale context. Dit scenario combineert gecoördineerde hacktivisme-actie, propaganda-initiatieven en druk op infrastructuren die als strategisch worden beschouwd.
Volgens het nieuwste rapport van Unit 42, het threat intelligence team van Palo Alto Networks, is de gelijktijdige activering vastgesteld van meer dan 60 pro-Iraanse en pro-Russische groepen. De analyse wijst ook op de opkomst van een platform genaamd “Electronic Operations Room”, dat zint op coördinatie van zowel operationele als narratieve taken bij het uitvoeren van disruptieve aanvallen in verschillende landen. Onder de meest actieve groepen die door Unit 42 worden genoemd, bevinden zich:
- Handala Hack, verbonden aan het Iraanse Ministerie van Inlichtingen en Veiligheid (MOIS), dat datadiefstal combineert met psychologische drukcampagnes.
- APT Iran, bekend van hack-and-leak campagnes.
- Cyber Islamic Resistance, een paraplu-organisatie die teams als RipperSec en Cyb3rDrag0nzz coördineert bij DDoS-aanvallen en destructieve operaties.
- Dark Storm Team, gespecialiseerd in DDoS en ransomware.
- FAD Team (Fatimiyoun Cyber Team), gericht op malware wiper en permanente gegevensvernietiging.
- Evil Markhors, gericht op het verzamelen van inloggegevens en het identificeren van kritieke systemen zonder patches.
- Sylhet Gang, dat fungeert als narratieve versterker en rekruteringsmotor.
- 313 Team (Islamic Cyber Resistance in Iraq).
- DieNet, actief in DDoS-aanvallen in het Midden-Oosten.
Daarnaast hebben pro-Russische groepen zoals Cardinal, NoName057(16) en Russian Legion aanslagen geëggiticeerd op Israëlische doelen, waaronder gemeentelijke systemen, politieke infrastructuur, telecommunicatie en defensiesystemen. Russian Legion beweert toegang te hebben verkregen tot het Iron Dome raketafweersysteem en afgesloten servers van het IDF, wat onderdeel uitmaakt van hun eigen publieke communicatie.
Unit 42 benadrukt dat sinds de ochtend van 28 februari de internetconnectiviteit in Iran is gedaald tot schattingen tussen 1% en 4%. Het verlies aan connectiviteit, samen met de verzwakking van leiderschap en commandostructuren, zal vermoedelijk de coördinatie en uitvoering van geavanceerde cyberaanvallen door door de staat gesteunde actoren op korte termijn bemoeilijken.
Aanvallen, actieve campagnes en mogelijke evolutie van de dreiging
Onder de activiteiten die door Unit 42 zijn vastgesteld, bevinden zich claims van ongeautoriseerde toegang tot gevoelige systemen, waaronder industriële SCADA/PLC-systemen, infrastructuur en diensten in sectoren zoals energie, betalingsverkeer en financiële instellingen, evenals overheidsorganen en doelen gerelateerd aan transport en administratie.
Het onderzoek documenteert ook een actieve phishingcampagne die een kwaadaardige replica gebruikt van de Israëlische app Home Front Command RedAlert, verspreid via SMS-berichten met links naar een APK-bestand. Volgens Unit 42 lijkt het bestand legitiem, maar wordt het ingezet om mobiel malware te installeren gericht op surveillance en datadiefstal. Daarnaast worden gevallen van vishing gerapporteerd in de VAE, waarbij aanvallers zich voordoen als het Ministerie van Binnenlandse Zaken om inloggegevens en identiteitsgegevens te verkrijgen.
Bovendien signaleert Unit 42 een escalatie in de toon van digitale intimidatie. Zo zou Handala Hack e-mails hebben gestuurd met directe dreigementen aan Iraans-Amerikaanse en Iraans-Canadese influencers, inclusief beweringen dat hun fysieke adressen zijn gelekt.
Aanbevelingen in een hoog-risico omgeving
In een snel evoluerend dreigingslandschap adviseert Palo Alto Networks het gebruik van een gelaagde verdedigingsstrategie gebaseerd op geavanceerde technologieën en versterkte cyberhygiëne:
- Zorg voor minstens één kritische back-up die losgekoppeld is (air-gapped).
- Implementeer out-of-band verificatie voor gevoelige verzoeken.
- Versterk de monitoring van internet-gevoelige activa, waaronder websites, VPN’s en cloudomgevingen.
- Voer veiligheidspatches door en pas best practices toe voor het versterken van kritieke infrastructuur.
- Train medewerkers in het herkennen van phishing-technieken en sociale manipulatie.
- Evalueer geografische blokkering van IP-adressen in regio’s waar geen legitieme activiteit is.
- Atualiseer bedrijfscontinuïteitsplannen en crisismanagementprotocollen.
- Stel procedures op voor snelle validatie en reactie op mogelijke datalekken of inbreuken.
- Houd voortdurende waakzaamheid ten aanzien van reputatiedrukcampagnes en versterkte narratieven door actoren van bedreigingen.
Het bedrijf onderstreept tevens het belang van het benutten van bewezen beveiligingsoplossingen, geavanceerde detectie- en reactiemogelijkheden, en gespecialiseerde teams voor threat intelligence en incidentonderzoek om de potentiële impact van dergelijke campagnes te beperken.