Cyberwar Iran

Die inländische Internetkonnektivität des Iran brach am Morgen der Angriffe auf ein bis vier Prozent zusammen – ein nahezu totaler Ausfall, der paradoxerweise auch die fortschrittlichsten Cyber-Einheiten Teherans einschränkte. Forscher bei Unit 42 schätzen, dass die Degeneration der iranischen Führungs- und Kommandostrukturen die Fähigkeit staatlicher Akteure, fortschrittliche Operationen kurzfristig zu koordinieren und auszuführen, verringert hat. Staatsnahe Einheiten könnten nun in operativer Isolation agieren, von etablierten Spielbüchern abweichen und mit taktischer Autonomie handeln.

Die unmittelbare Last der iranischen Cyber-Reaktion ist daher auf ein weitläufiges Netzwerk von Proxy-Gruppen, Hacktivisten und ausländischen Kollektiven gefallen, die außerhalb des iranischen Territoriums operieren – viele davon koordiniert über einen neu gebildeten „Elektronischen Operationsraum“, der am Tag des Angriffs eingerichtet wurde.

Die Hacktivisten greifen an

Unit 42 hat mindestens 60 aktive Bedrohungsgruppen identifiziert, von pro-iranischen Hacktivisten bis hin zu pro-russischen Kollektiven, die den Konflikt genutzt haben, um ihre eigenen Ziele voranzutreiben. Die prominenteste iranische Persönlichkeit ist Handala Hack, die mit dem iranischen Geheimdienst (MOIS) in Verbindung steht. Die Gruppe kombiniert Datenexfiltration mit gezielten Operationen gegen israelische politische und Verteidigungseinheiten. Es hat die Verantwortung für Verstöße bei einem israelischen Energieexplorationsunternehmen, der jordanischen Kraftstoffinfrastruktur und dem größten israelischen Gesundheitsnetzwerk übernommen – letzteres mit dem Ziel, vor Beginn der kinetischen Kampagne innenpolitischen Druck zu erzeugen.

Die Operationen von Handala Hack haben sich auch in den Bereich physischer Bedrohungen verlagert. Die Gruppe soll iranisch-amerikanischen und iranisch-kanadischen Influencern direkte Todesdrohungen per E-Mail geschickt haben, in denen sie behauptete, ihre Wohnadressen an Agenten in den Vereinigten Staaten und Kanada weitergegeben zu haben – eine dokumentierte Eskalation von digitaler Störung zu persönlicher Einschüchterung.

Weitere aktive Kollektive sind APT Iran, das Sabotage an der jordanischen kritischen Infrastruktur beansprucht hat; die Cyber Islamic Resistance, ein Dachnetzwerk, das synchronisierte DDoS-Kampagnen, Datenlöschoperationen und Website-Verunstaltungen koordiniert; und das FAD Team (Fatimiyoun Cyber Team), das sich auf zerstörerische Wiper-Malware konzentriert und unbefugten Zugriff auf SCADA- und industrielle Steuerungssysteme in Israel und anderen Ländern beansprucht hat.

Die geografische Breite ist bemerkenswert. DieNet hat Flughäfen in Bahrain und den VAE sowie Banken in Riad und Jordanien ins Visier genommen. Das 313 Team, das im Irak ansässig ist, hat Operationen gegen die Streitkräfte Kuwaits, das Verteidigungsministerium und Regierungswebsites geleitet. Die Sylhet-Gang hat die Systeme des saudischen Innenministeriums angegriffen – ein Muster, das mit Bemühungen übereinstimmt, Regierungen zu destabilisieren, die US-Militärgüter beherbergen.

Russland greift ein

Pro-russische Hacktivistengruppen haben sich schnell bewegt, um den Konflikt auszunutzen. Cardinal behauptet, in die Netzwerke der israelischen Streitkräfte eingedrungen zu sein und ein Dokument veröffentlicht zu haben, das angeblich mit der Operation Northern Shield in Verbindung steht und Bewegungsdetails sowie Befehlsgenehmigungen enthält. NoName057(16) hat disruptive Operationen gegen israelische kommunale, Telekommunikations- und verteidigungsbezogene Ziele beansprucht.

Das Kollektiv der Russischen Legion ist noch weiter gegangen und hat die Kontrolle über Komponenten des israelischen Raketenabwehrsystems Iron Dome beansprucht. Sicherheitsforscher haben diese Behauptung noch nicht bestätigt, und Hacktivistengruppen sind dafür bekannt, das Ausmaß ihres Zugangs zu übertreiben.

Mobile Malware und Social Engineering

Unit 42 hat eine gezielte Phishing-Kampagne identifiziert, bei der eine bösartige Android-Anwendung verbreitet wird, die als Notfallbenachrichtigungs-App des israelischen Heimfrontkommandos, RedAlert, getarnt ist. Das gefälschte Paket setzt mobile Überwachungssoftware ein und schleust Daten von infizierten Geräten aus – ein Spiegelbild etablierter iranischer Handwerkskunst: Einbetten von Malware in kontextuell glaubwürdige Anwendungen während Zeiten öffentlicher Angst.

Opportunistische kriminelle Akteure sind ebenfalls in dieses Feld eingetreten. In den VAE geben sich Cyberkriminelle als Innenministerium aus, um Emirates-Identifikationsnummern zu sammeln. Unabhängig davon hat die Ransomware-as-a-Service-Gruppe Tarnished Scorpius ein israelisches Unternehmen für Industriemaschinen auf ihrer Leak-Website gelistet und das Firmenlogo durch ein Hakenkreuz ersetzt.

Bewertung und Ausblick

Die aktuelle Phase ist durch mittel- bis niedrigkomplexe Angriffe gekennzeichnet – DDoS-Kampagnen, Datenlecks, Defacements und Anmeldedaten-Diebstahl –, die in hohem Volumen über ein breites geografisches Gebiet hinweg durchgeführt werden. Da sich die betrieblichen Störungen innerhalb des Iran verringern, wird erwartet, dass sich die Bedrohungsberechnung in Richtung gezielterer Eingriffe verschiebt. Organisationen in den Bereichen Energie, Finanzen, Gesundheitswesen und Logistik mit Verbindungen zu US- oder israelischen Interessen sind einem erhöhten Risiko ausgesetzt.

Der Konflikt hat ein Muster veranschaulicht, das im modernen Krieg zunehmend sichtbar wird: Kinetische Aktionen lösen nun zuverlässig eine parallele digitale Kampagne aus, die nicht nur von staatlichen Akteuren, sondern von einem verteilten Ökosystem aus Stellvertretern, kriminellen Opportunisten und geopolitisch ausgerichteten Kollektiven durchgeführt wird. Sich dagegen zu verteidigen, erfordert die gleiche Wachsamkeit, die auch im physischen Bereich angewendet wird.

Iran’s domestic internet connectivity collapsed to between one and four percent on the morning of the strikes — a near-total blackout that paradoxically constrained Tehran’s own most sophisticated cyber units. Researchers at Unit 42 assess that the degradation of Iranian leadership and command structures has reduced the capacity of state-based actors to coordinate and execute advanced operations in the short term. State-aligned units may now be functioning in operational isolation, deviating from established playbooks and acting with tactical autonomy.

The immediate burden of Iran’s cyber response has therefore fallen on a sprawling network of proxy groups, hacktivists, and foreign-aligned collectives operating outside Iranian territory — many coordinated through a newly formed „Electronic Operations Room“ established on the day the strikes began.

The Hacktivist Surge

Unit 42 has identified at least 60 active threat groups, ranging from pro-Iranian hacktivists to pro-Russian collectives who have seized on the conflict to further their own agendas. The most prominent Iranian persona is Handala Hack, linked to Iran’s Ministry of Intelligence and Security (MOIS). The group combines data exfiltration with targeted operations against Israeli political and defense entities. It has claimed responsibility for breaches at an Israeli energy exploration company, Jordan’s fuel infrastructure, and Israel’s largest healthcare network — the latter targeted to generate domestic political pressure before the kinetic campaign began.

Handala Hack’s operations have also moved into physical threat territory. The group reportedly sent direct death threats by email to Iranian-American and Iranian-Canadian influencers, claiming to have leaked their home addresses to operatives in the United States and Canada — a documented escalation from digital disruption to personal intimidation.

Other active collectives include APT Iran, which has claimed sabotage of Jordanian critical infrastructure; the Cyber Islamic Resistance, an umbrella network coordinating synchronized DDoS campaigns, data-wiping operations, and website defacements; and the FAD Team (Fatimiyoun Cyber Team), which focuses on destructive wiper malware and has claimed unauthorized access to SCADA and industrial control systems in Israel and other countries.

The geographic breadth is notable. DieNet has targeted airports in Bahrain and the UAE, as well as banks in Riyadh and Jordan. The 313 Team, based in Iraq, has directed operations against Kuwait’s armed forces, defense ministry, and government websites. The Sylhet Gang has targeted Saudi Arabia’s interior ministry systems — a pattern consistent with efforts to destabilize governments hosting U.S. military assets.

Russia Enters the Cyber Theater

Pro-Russian hacktivist groups have moved quickly to exploit the conflict. Cardinal claims to have infiltrated Israeli Defense Forces networks and published a document purportedly related to Operation Northern Shield, containing movement details and command approvals. NoName057(16) has claimed disruptive operations against Israeli municipal, telecom, and defense-related targets. The Russian Legion collective has gone further, asserting control over components of Israel’s Iron Dome missile defense system. Security researchers have yet to corroborate this claim, and hacktivist groups are known to overstate the scale of their access.

Mobile Malware and Social Engineering

Unit 42 has identified a targeted phishing campaign distributing a malicious Android application disguised as the Israeli Home Front Command’s RedAlert emergency notification app. The counterfeit package deploys mobile surveillance software and exfiltrates data from infected devices — a reflection of established Iranian tradecraft: embedding malware in contextually credible applications during periods of public anxiety.

Opportunistic criminal actors have also entered the field. In the UAE, cybercriminals are impersonating the Ministry of Interior to harvest Emirates Identification Numbers. Separately, the ransomware-as-a-service group Tarnished Scorpius has listed an Israeli industrial machinery firm on its leak site, replacing the company logo with a swastika.

Assessment and Outlook

The current phase is characterized by medium-to-low sophistication attacks — DDoS campaigns, data leaks, defacements, and credential theft — carried out at high volume across a wide geographic range. As operational disruption within Iran eases, the threat calculus is expected to shift toward more targeted intrusions. Organizations in energy, finance, healthcare, and logistics with ties to U.S. or Israeli interests face elevated risk.

The conflict has illustrated a pattern increasingly visible in modern warfare: kinetic action now reliably triggers a parallel digital campaign, conducted not only by state actors but by a distributed ecosystem of proxies, criminal opportunists, and geopolitically aligned collectives. Defending against it requires the same vigilance applied to the physical domain.