Det globala geopolitiska och cybersäkerhetslandskapet har förändrats dramatiskt efter att USA den 28 februari 2026 inledde Operation "Epic Fury" och den parallella israeliska kampanjen Operation "Roaring Lion" mot Iran. De samordnade militära anfallen eliminerade framgångsrikt Irans viktigaste ledare, inklusive den högste ledaren ayatolla Ali Khamenei, och försämrade kraftigt Irans konventionella militära och nukleära infrastruktur.
Överblick
Parallellt med de kinetiska anfallen genomförde USA:s och Israels styrkor cyberattacker mot Iran och skapade en "digital dimma" som sänkte Irans internetanslutning till 4% av den normala trafiken. Denna cyberoffensiv förlamade Islamic Revolutionary Guard Corps (IRGC) kommando- och kontrollarkitektur och kapade statliga medienätverk. Målet var att störa deras förmåga att samordna motattacker, särskilt avfyrandet av drönare och ballistiska missiler.
Med sina konventionella militära alternativ kraftigt försvagade är Iran nu i hög grad beroende av cyberoperationer som sitt främsta instrument för asymmetrisk vedergällning. Kinetiska vedergällningsattacker har redan riktats mot amerikanska baser och allierade i hela Mellanöstern, medan den kommersiella sjöfarten genom Hormuzsundet i princip har stoppats, vilket hotar en global energikris och oljepristoppar.
Samtidigt har det amerikanska försvarsdepartementet aggressivt förändrat sin tekniska leveranskedja och betecknat AI-företaget Anthropic som en "risk i leveranskedjan" och förbjudit dess användning efter att företaget vägrat tillåta att dess modeller används för massövervakning och autonoma vapen. Konkurrenten OpenAI har sedan dess säkrat ett kontrakt på 200 miljoner dollar för att använda sina AI-modeller i Pentagons hemliga nätverk.
Förhöjd cyberhotaktivitet
Hotunderrättelseföretag bekräftar att iranska statssponsrade aktörer och hacktivistiska ombud aktivt omformar och eskalerar operationer mot västerländska mål. Riskfönstret är omedelbart, med följande grupper och åtgärder identifierade:
- Handala-gruppen: Riktar aktivt in sig på israeliska industriella kontrollsystem (ICS) och hävdar störningar mot jordansk bränsleinfrastruktur och israeliska sjukvårdsnätverk.
- Fatimiyoun Electronic Team: Försöker sprida destruktiv skadlig kod (wiper malware) mot västerländska finansinstitut och energiföretag.
- Cyber Islamic Resistance: Utför DDoS-attacker (distributed denial-of-service) och datatömningsattacker mot amerikanska och israeliska militära logistikleverantörer.
- APT33 (Peach Sandstorm) / MuddyWater / APT42: Dessa mycket skickliga spiongrupper har aktiverats och är kända för att utnyttja lösenordssprayning, spear-phishing och anpassade bakdörrar mot flyg-, försvars-, energi- och telekommunikationssektorerna.
- Utnyttjande av Edge-enheter: Hotaktörer utnyttjar aktivt kritiska sårbarheter, såsom CVE-2026-20127 och CVE-2022-20775 i Cisco SD-WAN-distributioner, vilket kan ge angripare full administrativ åtkomst och ett fotfäste för lateral rörelse. Mer information om detta i detta meddelande: https://insights.integrity360.com/threat-advisories/security-advisory-cve-2026-20127-cisco-catalyst-sd-wan-authentication-bypass
TTP:er och IOC:er
Det finns flera kända taktiker, tekniker och procedurer (TTP) som förknippas med Iran-allierade hotaktörer, men inga specifika kompromissindikatorer (IOC) kopplade till de aktuella händelserna har ännu bekräftats.
Baserat på historisk aktivitet har följande MITRE ATT&CK-tekniker identifierats:
- Initial åtkomst:
- Nätfiske och spearphishing (T1566)
- Utnyttjande av applikationer som vänder sig till allmänheten (T1190)
- Utnyttjande av externa fjärrtjänster såsom VPN (T1133)
- Tillgång till inloggningsuppgifter:
- Brute force och lösenordssprutning (T1110)
- Dumpning av OS-referenser (T1003)
- Extrahering av referenser från lösenordslager (T1555)
- Uthållighet och undvikande av försvar:
- Kontomanipulation (T1098)
- Processinjektion (T1055)
- Försämring av försvar (T1562)
- Indikatorborttagning på värd (T1070)
- Fördunkling av filer (T1027)
- Kommando och kontroll:
- Protokoll i applikationslagret (T1071)
- Överföring av intrångsverktyg (T1105)
- Krypterade kanaler (T1573)
- Påverkan:
- Förstöring av data eller wiper-aktivitet (T1485)
- Utpressningsprogram (Ransomware) (T1486)
- Förhindrande av systemåterställning (T1490)
- Skadegörelse av webbplats (T1491)
Är omedelbar svartlistning effektiv? Nej, att enbart förlita sig på svartlistning är inte en effektiv primär strategi i det här scenariot av några viktiga skäl:
- Avsaknad av aktuella IOC:er: Säkerhetsforskare noterar att ingen specifik kampanj har bekräftats ännu, vilket innebär att det saknas nya, statiska indikatorer (t.ex. skadliga IP-adresser eller filhashes) att svartlista direkt.
- Fokusera på beteenden i stället för statiska indikatorer: Hotaktörer kombinerar ofta referensbaserad åtkomst, lateral rörelse och destruktiva nyttolaster. Experter rekommenderar uttryckligen att säkerhetsteam anpassar sina funktioner för detektering och utökad detektering och respons (EDR/XDR) för att identifiera skadliga beteenden i samband med dessa tekniker, snarare än att enbart förlita sig på statiska svartlistor.
- Missbruk av legitim infrastruktur: Angripare använder referensbaserade attacker, t.ex. lösenordssprayning och nätfiske, för att logga in via legitima externa åtkomstpunkter. Dessutom har nyligen genomförda kampanjer missbrukat komprometterade, legitima webbplatser för att leverera trojaner för fjärråtkomst, vilket gör svartlistning av domäner svår utan att blockera godartade tjänster.
Begränsning och rekommenderade åtgärder
Eftersom geografi inte ger något skydd mot cyberaktiverade motståndare måste organisationer inom regering, kritisk infrastruktur, försvar, finans och hälso- och sjukvård omedelbart anta en ökad defensiv hållning.
- Säkra industriella kontrollsystem (ICS) Företag som är verksamma inom energi, vatten och tillverkning måste omedelbart isolera ICS- och SCADA-system från det offentliga internet för att mildra störningar av Handala-typ.
- Patch Edge Devices Immediately Granska och patcha internetvända system mot kända sårbarheter. Federala myndigheter och privata partners måste snarast åtgärda CVE-2026-20127 i Cisco SD-WAN-system och bör överväga att helt bygga om komprometterade styrenheter eftersom enbart patchning kanske inte åtgärdar tidigare intrång.
- Validera säkerhetskopior och motståndskraft Säkerställ integriteten hos säkerhetskopior, upprätthåll offline eller oföränderliga kopior för att snabbt återhämta sig från potentiell wiper malware eller ransomware-distribution.
- Förbättra identitets- och åtkomstkontroller Genomdriv multifaktorautentisering (MFA) för all fjärråtkomst och alla privilegierade konton. Öka känsligheten för varningstriage för lösenordssprutning, brute force-försök och missbruk av referenser.
Om du är orolig för något av de hot som beskrivs i den här bulletinen eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig mot de mest väsentliga hoten mot din organisation, vänligen kontakta din kontoansvarige, eller alternativtkontaktaossförattta redapå hur du kan skydda din organisation.