Op 28 februari 2026
voerden de Verenigde Staten en Israël aanvallen uit op doelen in Iran,
in een operatie die door de
VS ‘Operation Epic Fury’ werd genoemd. Volgens
openbare bronnen waren de aanvallen gericht op Iraanse raketten en luchtverdedigingssystemen,
andere militaire infrastructuur en Iraanse leiders. Iran reageerde met
vergeldingsaanvallen met raketten en drones in de regio. Deze waren
gericht op Amerikaanse ambassades en militaire installaties.
Nu de oorlog zijn
tweede week ingaat, hebben verschillende Iraanse hacktivistische
groeperingen en personen de verantwoordelijkheid opgeëist voor diverse
verstorende operaties. Iraanse spionagegerichte dreigingsgroepen
blijven enigszins actief, ondanks het feit dat de Iraanse regering het
internet onmiddellijk na de eerste Amerikaanse en Israëlische aanvallen
heeft afgesloten.?Op 8 maart constateerde Proofpoint bijvoorbeeld dat
de met Iran gelieerde dreigingsactor TA453 (Charming Kitten, Mint
Sandstorm, APT42) een poging deed om inloggegevens te phishen van een
Amerikaanse denktank. De e-mailcorrespondentie die tot deze poging tot
phishing van inloggegevens leidde, begon al vóór het begin van het
conflict. Dit wijst erop dat TA453 prioriteit blijft geven aan het
verzamelen van inlichtingen over zijn traditionele
doelwitten.
Het is onduidelijk hoe
de bredere Iraanse cyberoperaties zich zullen voortzetten. Toch hebben
onderzoekers van Proofpoint sinds het begin van de oorlog ook een
toename waargenomen in campagnes van andere door de staat gesponsorde
dreigingsactoren die zich richten op overheidsorganisaties in het
Midden-Oosten. Deze campagnes werden uitgevoerd door zowel bekende
groepen als voorheen onbekende actoren, die vermoedelijk afkomstig zijn
uit China, Belarus, Pakistan en Hamas. De campagnes maakten sterk
gebruik van aspecten van het conflict als actuele lokcontent om de
doelwitten te verleiden. Ook gebruikten ze vaak gehackte accounts van
overheidsorganisaties om phishing-e-mails te versturen.?Proofpoint
schat dat deze activiteit een combinatie is van dreigingsactoren die de
oorlog opportunistisch gebruiken als lokaas om routinematige operaties
uit te voeren, en actoren die zich meer richten op het verzamelen van
inlichtingen over overheids- en diplomatieke instanties in het
Midden-Oosten.?
De belangrijkste bevindingen van het
onderzoek:
- Cyberaanval vanuit meerdere landen: actoren uit China, Belarus, Pakistan en
andere landen lanceerden binnen 24 tot 72 uur na de escalatie van
het conflict campagnes.
- Nieuw geïdentificeerde dreigingsclusters: Proofpoint heeft verschillende tot
voorheen onbekende clusters van actoren ontdekt die
snel phishingcampagnes met een conflict-thema hebben
opgezet.
- Verschuiving in doelwitpatronen: sommige actoren, waaronder een met Belarus
gelieerde groep, richten zich nu op regeringen in het
Midden-Oosten, wat een afwijking is van
hun gebruikelijke focus.
- Gecompromitteerde overheidsinfrastructuur: meerdere campagnes maakten gebruik van
gekaapte e-mailaccounts van ministeries om hun geloofwaardigheid
te vergroten en verdedigingsmechanismen te omzeilen.
- Precisiewerk: de daders maakten gebruik
van geofencing, selectieve levering van payloads,
pagina's voor het verzamelen van inloggegevens die zich
voordeden als Microsoft-services, en in één geval een
volledige Cobalt Strike-implementatieketen.
- Focus op inlichtingenvergaring: terwijl Iraanse spionageactoren hun bestaande
prioriteiten op het gebied van inlichtingenvergaring lijken te
handhaven, maken niet-Iraanse staatsactoren agressief gebruik van
het conflict om hun inlichtingenvergaring in de hele regio uit te
breiden.
Terwijl het conflict
tussen Iran en regionale actoren voortduurt, blijven de activiteiten
van Iraanse dreigingsactoren een mix van traditionele spionage en
verstorende campagnes ter ondersteuning van oorlogsinspanningen.
Proofpoint heeft ook een reeks niet-Iraanse dreigingsgroepen
waargenomen die zich richten op regeringen in het Midden-Oosten met
social engineering, die het conflict thematisch in gebruik nemen.
Hoewel verschillende van deze groepen de oorlogsgerelateerde lokinhoud
gebruikten in operaties die grotendeels overeenkomen met hun
gebruikelijke doelwitten, vertoonden andere een verschuiving richting
het verzamelen van inlichtingen tegen overheids- en diplomatieke
entiteiten in het Midden-Oosten. Dit weerspiegelt waarschijnlijk een
poging om regionale inlichtingen te verzamelen over de stand van zaken,
het verloop en de bredere geopolitieke implicaties van het conflict.
Dit suggereert dat het conflict zowel wordt gebruikt als een actueel
social engineering-voorwendsel als een drijfveer voor de verzameling
prioriteiten van een reeks staatsgerichte dreigingsactoren.
Lees voor meer
informatie
hier
het volledige Engelstalige bericht.