.



Aanvallen op Iran leiden tot verhoogde spionageactiviteiten tegen doelwitten in Midden-Oosten

  1. 12 mrt 2026
  2. 0 reacties

Proofpoint-490-200_2023-03

Sinds 28 februari 2026 voeren de Verenigde Staten en Israël aanvallen uit op doelen in Iran, in een operatie die door de VS ‘Operation Epic Fury’ werd genoemd. Volgens openbare bronnen zijn de aanvallen gericht op Iraanse raketten en luchtverdedigingssystemen, andere militaire infrastructuur en Iraanse leiders. Iran reageerde met vergeldingsaanvallen met raketten en drones in de regio. Deze waren gericht op Amerikaanse ambassades en militaire installaties. 

Nu de oorlog zijn tweede week ingaat, hebben verschillende Iraanse hacktivistische groeperingen en personen de verantwoordelijkheid opgeëist voor diverse verstorende operaties. Iraanse spionagegerichte dreigingsgroepen blijven enigszins actief, ondanks het feit dat de Iraanse regering het internet onmiddellijk na de eerste Amerikaanse en Israëlische aanvallen heeft afgesloten. Op 8 maart constateerde Proofpoint bijvoorbeeld dat de met Iran gelieerde dreigingsactor TA453 (Charming Kitten, Mint Sandstorm, APT42) een poging deed om inloggegevens te phishen van een Amerikaanse denktank. De e-mailcorrespondentie die tot deze poging tot phishing van inloggegevens leidde, begon al vóór het begin van het conflict. Dit wijst erop dat TA453 prioriteit blijft geven aan het verzamelen van inlichtingen over zijn traditionele doelwitten.   

Het is onduidelijk hoe de bredere Iraanse cyberoperaties zich zullen voortzetten. Toch hebben onderzoekers van Proofpoint sinds het begin van de oorlog ook een toename waargenomen in campagnes van andere door de staat gesponsorde dreigingsactoren die zich richten op overheidsorganisaties in het Midden-Oosten. Deze campagnes werden uitgevoerd door zowel bekende groepen als voorheen onbekende actoren, die vermoedelijk afkomstig zijn uit China, Belarus, Pakistan en Hamas. De campagnes maakten sterk gebruik van aspecten van het conflict als actuele lokcontent om de doelwitten te verleiden. Ook gebruikten ze vaak gehackte accounts van overheidsorganisaties om phishing-e-mails te versturen. Proofpoint schat dat deze activiteit een combinatie is van dreigingsactoren die de oorlog opportunistisch gebruiken als lokaas om routinematige operaties uit te voeren, en actoren die zich meer richten op het verzamelen van inlichtingen over overheids- en diplomatieke instanties in het Midden-Oosten.   

Bevindingen: 

  • Cyberaanval vanuit meerdere landen: actoren uit China, Belarus, Pakistan en andere landen lanceerden binnen 24 tot 72 uur na de escalatie van het conflict campagnes.
  • Nieuw geïdentificeerde dreigingsclusters: Proofpoint heeft verschillende tot voorheen onbekende clusters van actoren ontdekt die snel phishingcampagnes met een conflict-thema hebben opgezet. 
  • erschuiving in doelwitpatronen: sommige actoren, waaronder een met Belarus gelieerde groep, richten zich nu op regeringen in het Midden-Oosten, wat een afwijking is van hun gebruikelijke focus. 
  • Gecompromitteerde overheidsinfrastructuur: meerdere campagnes maakten gebruik van gekaapte e-mailaccounts van ministeries om hun geloofwaardigheid te vergroten en verdedigingsmechanismen te omzeilen. 
  • Precisiewerk: de daders maakten gebruik van geofencing, selectieve levering van payloads, pagina's voor het verzamelen van inloggegevens die zich voordeden als Microsoft-services, en in één geval een volledige Cobalt Strike-implementatieketen. 
  •  Focus op inlichtingenvergaring: terwijl Iraanse spionageactoren hun bestaande prioriteiten op het gebied van inlichtingenvergaring lijken te handhaven, maken niet-Iraanse staatsactoren agressief gebruik van het conflict om hun inlichtingenvergaring in de hele regio uit te breiden.

Terwijl de strijd voortduurt, blijven de activiteiten van Iraanse dreigingsactoren een mix van traditionele spionage en verstorende campagnes ter ondersteuning van oorlogsinspanningen.

Proofpoint heeft ook een reeks niet-Iraanse dreigingsgroepen waargenomen die zich richten op regeringen in het Midden-Oosten met social engineering, die het conflict thematisch in gebruik nemen. Hoewel verschillende van deze groepen de oorlogsgerelateerde lokinhoud gebruikten in operaties die grotendeels overeenkomen met hun gebruikelijke doelwitten, vertoonden andere een verschuiving richting het verzamelen van inlichtingen tegen overheids- en diplomatieke entiteiten in het Midden-Oosten.

Dit weerspiegelt waarschijnlijk een poging om regionale inlichtingen te verzamelen over de stand van zaken, het verloop en de bredere geopolitieke implicaties van het conflict. Dit suggereert dat het conflict zowel wordt gebruikt als een actueel social engineering-voorwendsel als een drijfveer voor de verzameling prioriteiten van een reeks staatsgerichte dreigingsactoren.  

 

Lees voor meer informatie hier het volledige Engelstalige bericht.