Το επί έτη χακάρισμα των καμερών κυκλοφορίας στην Τεχεράνη, που τελικά ήταν το «κλειδί» για την εξόντωση του Χαμενεΐ, αλλά και η προ μηνών παγίδευση βομβητών στελεχών της Χεζμπολάχ, αν μη τι άλλο δείχνουν ότι ο πόλεμος στη Μέση Ανατολή δεν διεξάγεται μόνο με drones και πυραύλους.
Αν και τα γεγονότα αποδεικνύουν τις δυνατότητες, κυρίως του Ισραήλ, στο πεδίο του κυβερνοπολέμου, δεν μπορούν να υποτιμηθούν τα δίκτυα που έχει αναπτύξει εδώ και χρόνια το Ιράν είτε για ηλεκτρονικές δολιοφθορές είτε για διασπορά ψευδών ειδήσεων είτε για επιθέσεις προπαγάνδας.
Εκτόξευση πυραύλου στη διάρκεια άσκησης στο Ιράν / Φωτογραφία αρχείου: AP
Το οικοσύστημα του Ιράν περιλαμβάνει πολλαπλές ομάδες που ευθυγραμμίζονται με κρατικές οντότητες, το Σώμα των Φρουρών της Ισλαμικής Επανάστασης (IRGC) και το υπουργείο Πληροφοριών και Ασφάλειας (MOIS), καθώς και με ομάδες «χακτιβιστών». Όπως αναφέρει η σχετική έρευνα της Check Point, αυτό το οικοσύστημα υποστηρίζει ένα ευρύ σύνολο στόχων:
κατασκοπεία για την απόκτηση πληροφοριών και βάσεων αναστάτωση και καταστροφική δραστηριότητα, συμπεριλαμβανομένων επιθέσεων DDoS, ψευδο-ransomware και data wipers για την επιβολή κόστους επιχειρήσεις πληροφοριών που συνδυάζουν καταστροφική δραστηριότητα ή διαρροές δεδομένων με συντονισμένη διαδικτυακή ενίσχυση.
Αυτή η δραστηριότητα αναμένεται να ενταθεί και να διευρυνθεί σε όλη τη Μέση Ανατολή, τις Ηνωμένες Πολιτείες και άλλες χώρες που το Ιράν θεωρεί αντιπάλους του στον τρέχοντα πόλεμο.
Η Cotton Sandstorm (γνωστή και ως Emennet Pasargad / Aria Sepehr Ayandehsazan, επίσης καταγεγραμμένη ως MarnanBridge/Haywire Kitten) είναι μια ιρανική εταιρεία στον κυβερνοχώρο που συνδέεται με το IRGC, γνωστή κυρίως για τις επιχειρήσεις επιρροής μέσω κυβερνοχώρου και τις εκστρατείες «ταχείας αντίδρασης» όταν κορυφώνονται τα περιφερειακά γεγονότα. Το εγχειρίδιό της συνδυάζει την κλασική ανατρεπτική κυβερνοδραστηριότητα με επιχειρήσεις πληροφοριών: παραμορφώσεις ιστοσελίδων, επιθέσεις DDoS, παραβίαση email/λογαριασμού και κλοπή δεδομένων, ακολουθούμενη από ενίσχυση τύπου «hack-and-leak» χρησιμοποιώντας ψεύτικα πρόσωπα και πλαστοπροσωπία για τη διαμόρφωση αφηγημάτων.
Τα τελευταία χρόνια, η Cotton Sandstorm έχει επεκτείνει τις δραστηριότητές της πέρα από το Ισραήλ σε ένα ευρύτερο σύνολο θυμάτων, συμπεριλαμβανομένης της δραστηριότητας που επικεντρώνεται στον Κόλπο. Αυτές περιλαμβάνουν την απόκτηση μη εξουσιοδοτημένης πρόσβασης σε εταιρεία streaming IPTV με έδρα τις ΗΠΑ για τη μετάδοση μηνυμάτων που παρέχονται από τεχνητή νοημοσύνη σχετικά με τον πόλεμο στη Γάζα, τα οποία επηρεάζουν κυρίως τα Ηνωμένα Αραβικά Εμιράτα, ή την επαναλαμβανόμενη στοχοποίηση κυβερνητικών οντοτήτων και υποδομών του Μπαχρέιν, πλαισιωμένη με μηνύματα κατά της μοναρχίας για να διαμαρτυρηθεί για την ομαλοποίηση των σχέσεων με το Ισραήλ.
Τους τελευταίους μήνες, η Check Point Research παρατήρησε ένα σύνολο εργαλείων κακόβουλου λογισμικού που σχετίζεται με την Cotton Sandstorm. Οι δράστες χρησιμοποιούν συστηματικά το WezRat, ένα προσαρμοσμένο αρθρωτό πρόγραμμα κλοπής πληροφοριών που παρέχεται μέσω καμπανιών spearphishing που μεταμφιέζονται σε επείγουσες ενημερώσεις λογισμικού. Σε ορισμένες περιπτώσεις, οι εισβολές ακολουθήθηκαν από την ανάπτυξη του ransomware WhiteLock ειδικά εναντίον ισραηλινών στόχων, αν και δεν υπάρχει τίποτα που να τους εμποδίζει να επεκτείνουν αυτήν τη δραστηριότητα σε άλλες χώρες.
Μια μέρα μετά την έναρξη της τρέχουσας σύγκρουσης, η Cotton Sandstorm αναβίωσε την παλιά της κυβερνοπροσωπία, την Altoufan Team, η οποία ειδικευόταν κυρίως στη στόχευση του Μπαχρέιν και είχε σιωπήσει για περισσότερο από έναν χρόνο, αναλαμβάνοντας την ευθύνη για μερικούς νέους φερόμενους στόχους στο Μπαχρέιν. Αυτό αντανακλά τη φύση των «επιθέσεων» του δράστη και την υψηλή πιθανότητα περαιτέρω εμπλοκής του σε εισβολές σε όλη τη Μέση Ανατολή εν μέσω της σύγκρουσης.
Η Educated Manticore είναι μια ομάδα που ευθυγραμμίζεται με τον Οργανισμό Πληροφοριών του Σώματος των Φρουρών της Ισλαμικής Επανάστασης (IRGC-IO) και επικαλύπτεται με τη δραστηριότητα APT35/APT42 («Charming Kitten»). Ο απειλητικός φορέας παρουσιάζει ένα ισχυρό μοτίβο πλαστοπροσωπίας υψηλής εμπιστοσύνης εναντίον συγκεκριμένων ατόμων: δημοσιογράφων, ερευνητών, ειδικών ασφαλείας, ακαδημαϊκών και ομάδων και ατόμων με έδρα το εξωτερικό που αντιτίθενται στο ιρανικό καθεστώς.
Η Handala (συχνά αποκαλούμενη «Handala Hack Team») εμφανίστηκε ως φιλοπαλαιστινιακή χακτιβιστική ταυτότητα στα τέλη του 2023 και αξιολογείται ως μία από τις πολλές διαδικτυακές περσόνες που διατηρούνται από τη Void Manticore, μια εταιρεία που συνδέεται με το MOIS. Στο τρέχον κλίμα κλιμάκωσης χρήζει στενής παρακολούθησης, καθώς είναι βελτιστοποιημένη για ψυχολογική πίεση και διατάραξη της φήμης: εισβολή σε συστήματα χαμηλού επιπέδου, διεξαγωγή δραστηριότητας hacking-and-leak και χρονισμός της δημοσίευσης κλεμμένου υλικού για μεγιστοποίηση της πίεσης.
Η δραστηριότητα hacking and leaks επικεντρώνεται κυρίως στο Ισραήλ, με περιστασιακή στόχευση εκτός αυτού του πεδίου εφαρμογής, όταν εξυπηρετεί μια συγκεκριμένη ατζέντα. Οι πρόσφατα παρατηρούμενες δραστηριότητες είναι ευκαιριακές και «γρήγορες και βρώμικες», με αξιοσημείωτη εστίαση σε σημεία της αλυσίδας εφοδιασμού (π.χ. πάροχοι υπηρεσιών πληροφορικής) για την προσέγγιση των θυμάτων που βρίσκονται σε εξέλιξη, ακολουθούμενες από αναρτήσεις «απόδειξης» για την ενίσχυση της αξιοπιστίας και τον εκφοβισμό των στόχων.
Ξεκινώντας από τον Ιανουάριο, εν μέσω πανεθνικών διαμαρτυριών και διακοπής λειτουργίας του διαδικτύου σε ολόκληρο το Ιράν, η Check Point Research παρατήρησε καμπάνιες Handala που προέρχονταν από περιοχές IP Starlink και εξέταζαν εξωτερικά εφαρμογές για λανθασμένες διαμορφώσεις και αδύναμα διαπιστευτήρια. Καθώς η σύγκρουση εξελίσσεται, ο απειλητικός παράγοντας άρχισε ήδη να προωθεί ισχυρισμούς και απειλητικά μηνύματα που στοχεύουν τις χώρες του Κόλπου και της Μέσης Ανατολής.
Η MuddyWater (γνωστή και ως Mango Sandstorm / Static Kitten) θεωρείται ευρέως ότι συνδέεται με το υπουργείο Πληροφοριών και Ασφάλειας (MOIS) του Ιράν και έχει μακρύ ιστορικό εισβολών με στόχο την κατασκοπεία εναντίον στόχων της κυβέρνησης, των τηλεπικοινωνιών, της ενέργειας και του ιδιωτικού τομέα στη Μέση Ανατολή. Η ομάδα συνήθως παραβιάζει τυπικά εταιρικά περιβάλλοντα και διατηρεί πρόσβαση για συλλογή δεδομένων, ενώ ιστορικά έχει στραφεί σε αναστάτωση όταν της ανατίθεται η εντολή. Το αποτύπωμά της είναι ευρύ: στοχεύει συχνά οργανισμούς σε όλο το Ισραήλ και τον Κόλπο και περιστασιακά εκτείνεται πέρα από τη Μέση Ανατολή.
Η Agrius (γνωστή και ως Pink Sandstorm / Agonizing Serpens) είναι μια ιρανική εταιρεία που δραστηριοποιείται από το 2020, με δημόσιες αναφορές να τη συνδέουν με το MOIS. Είναι γνωστή για καταστροφικές επιχειρήσεις στη Μέση Ανατολή, συχνά με έμφαση σε ισραηλινούς στόχους. Η Agrius δίνει προτεραιότητα στον αντίκτυπο: έχει πραγματοποιήσει ανατρεπτικές επιθέσεις με πολλαπλά ψευδώνυμα για να προκαλέσει αναστάτωση σε επίπεδο δικτύου και να διαμορφώσει αφηγήσεις μέσω διαρροών κλεμμένων δεδομένων και ήταν από τους πρώτους φορείς που συνδέονται με το Ιράν που παρατηρήθηκαν να εφαρμόζουν αυτό το σενάριο εναντίον ισραηλινών και εμιρατινών στόχων.
Καθ’ όλη τη διάρκεια του 12ήμερου πολέμου μεταξύ Ισραήλ και Ιράν τον Ιούνιο του 2025, η Check Point Research παρατήρησε ότι η υποδομή που συνδέεται με το Agrius σάρωσε ενεργά για ευάλωτες κάμερες σε όλο το Ισραήλ, πιθανώς για να υποστηρίξει την ορατότητα μετά την επίθεση και την αξιολόγηση ζημιών/ζημιών μάχης.