Po eskalacji konfliktu militarnego między Stanami Zjednoczonymi, Izraelem i Iranem w sieci rośnie aktywność proirańskich grup haktywistycznych. Analitycy z Sophos wskazują jednak, że większość deklarowanych cyberataków ma na razie ograniczony wpływ na funkcjonowanie systemów IT.
Zespół Sophos Counter Threat Unit odnotował w ostatnich dniach wyraźny wzrost komunikatów o cyberatakach publikowanych w serwisach Telegram i X oraz na podziemnych forach. Fala aktywności pojawiła się po skoordynowanych uderzeniach militarnych przeprowadzonych 28 lutego 2026 roku przez USA i Izrael na cele w Iranie. Operacje nazwane Epic Fury (USA) i Roaring Lion (Izrael) były wymierzone w instalacje wojskowe i struktury dowódcze Teheranu.
W odpowiedzi w sieci pojawiły się liczne deklaracje cyfrowego odwetu ze strony środowisk sympatyzujących z Iranem. W praktyce większość tych działań ma jednak charakter propagandowy lub opiera się na stosunkowo prostych technikach, takich jak ataki DDoS, podmiany treści stron internetowych czy publikowanie danych osobowych.
Weterani hacktywizmu wracają do gry
Jedną z najaktywniejszych grup pozostaje Handala Hack Team, obserwowana przez analityków od 2023 roku i powiązana z organizacją Cobalt Mystique. Grupa publikuje w mediach społecznościowych groźby wobec izraelskich instytucji oraz deklaracje ataków na infrastrukturę tego kraju, choć wiele z tych informacji nie zostało potwierdzonych.
Aktywność zwiększyła także grupa APTIran, która w serwisie Telegram wzywa sympatyków do cyberataków odwetowych. Od końca lutego publikuje ona rzekome wycieki danych i informacje o włamaniach do systemów związanych z izraelską infrastrukturą krytyczną, jednak autentyczność tych doniesień pozostaje niejasna.
Nowe grupy i cyberprzestępcy
Po eskalacji konfliktu pojawiły się także nowe lub reaktywowane grupy haktywistyczne wspierające Iran – m.in. Cyber Toufan, Cyber Support Front czy Iranian Avenger. Badacze CTU zauważyli, że część z nich rozpowszechnia dezinformację lub wzywa do przemocy.
Przykładem reaktywacji jest grupa Cyb3r Drag0nz, która ogłosiła dołączenie do szerszej koalicji określanej jako „Electronic Operations Room of Islamic Resistance Axis” (Elektroniczne Centrum Operacyjne Osi Islamskiego Oporu). Według deklaracji jej celem jest prowadzenie działań przeciwko izraelskim instytucjom i infrastrukturze.
„Interesującym sygnałem jest także aktywność środowisk cyberprzestępczych. Operatorzy usługi BaqiyatLock (BQTlock), oferującej ataki ransomware przeciwko konkretnym celom, zaoferowali bezpłatne członkostwo afiliacyjne haktywistom gotowym atakować izraelskie podmioty. W praktyce wiele nowych lub reaktywowanych grup ogranicza się jednak do nieskomplikowanych działań oraz publikowania przesadzonych lub niepotwierdzonych informacji o rzekomych sukcesach” – mówi Chester Wisniewski, Chief Technology Officer w Sophos.
Rosnące ryzyko cyberataków
Choć większość działań koncentruje się na izraelskich celach, udział USA w operacjach militarnych zwiększa ryzyko ataków odwetowych także na podmioty amerykańskie oraz instytucje działające na Bliskim Wschodzie.
Eksperci zalecają organizacjom przyjęcie bardziej defensywnej strategii bezpieczeństwa: monitorowanie kampanii phishingowych, ograniczanie liczby usług dostępnych z internetu oraz szybkie aktualizowanie systemów. Irańskie grupy często wykorzystują bowiem publicznie znane podatności zamiast zaawansowanych, nieujawnionych wcześniej luk.
Kluczowe pozostaje także stosowanie podstawowych mechanizmów ochrony, takich jak systemy antywirusowe, narzędzia EDR oraz procedury odtwarzania danych, które mogą ograniczyć skutki potencjalnych ataków ransomware lub destrukcyjnego złośliwego oprogramowania.
