Cyberaanvallen nemen toe tijdens escalerend conflict in het Midden-Oosten
De aanhoudende militaire confrontatie tussen de Verenigde Staten (VS), Israël en Iran heeft geleid tot een golf van cyberactiviteiten door zowel Iraanse als niet-Iraanse dreigingsactoren. Sinds het begin van de gevechten, die nu de tweede week zijn ingegaan, zijn verschillende hacktivistische groeperingen en staatsgesponsorde actoren operaties uitgevoerd die gericht zijn op overheidsinstellingen, diplomatieke doelwitten en militaire infrastructuur in de regio.
Hiervoor waarschuwen onderzoekers van Proofpoint. Ondanks de onmiddellijke afsluiting van het internet in Iran na de eerste aanvallen, blijven Iraanse dreigingsgroepen actief. Zo constateerde beveiligingsbedrijf Proofpoint op 8 maart dat de met Iran gelieerde groep TA453 (ook bekend als Charming Kitten, Mint Sandstorm of APT42) een phishingpoging ondernam om inloggegevens te stelen van een Amerikaanse denktank. De voorbereidingen voor deze aanval begonnen al voor het uitbreken van het conflict.
Ook cybercampagnes door andere staten
Naast Iraanse actoren lanceerden ook dreigingsgroepen uit China, Belarus, Pakistan en Hamas sinds de escalatie campagnes. Deze groepen maken gebruik van het conflict als lokaas in phishingaanvallen, vaak via gehackte e-mailaccounts van overheidsorganisaties. Volgens Proofpoint is deze activiteit een mix van opportunistische operaties waarbij het conflict wordt gebruikt als actueel voorwendsel, en gerichte inlichtingenvergaring over regeringen en diplomatieke instanties in het Midden-Oosten.
Binnen 24 tot 72 uur na de militaire escalatie tussen Iran, de Verenigde Staten en Israël startten dreigingsactoren uit meerdere landen cybercampagnes met thema’s die direct verband hielden met het conflict. Naast bekende groepen duiken ook voorheen onopgemerkte clusters op die snel phishingaanvallen ontwikkelden, waarbij ze het actuele conflict als lokaas gebruikten.
Andere doelwitten
Een opvallende verschuiving is zichtbaar in de doelwitkeuze: waar sommige groepen, zoals een met Belarus gelieerde actor, zich normaal gesproken op andere regio’s of sectoren richtten, focussen ze zich nu op regeringen en diplomatieke instanties in het Midden-Oosten. Om hun aanvallen geloofwaardiger te maken, maakten aanvallers gebruik van gehackte e-mailaccounts van overheidsorganisaties, waardoor ze verdedigingsmechanismen wisten te omzeilen.
De gebruikte methoden variëren van geavanceerde technieken zoals geofencing – waarbij payloads selectief worden afgeleverd op basis van de locatie van het slachtoffer – tot nep-inlogpagina’s die legitieme Microsoft-diensten imiteren. In ten minste één geval werd een volledige Cobalt Strike-infrastructuur ingezet, wat wijst op een hoog niveau van voorbereiding en technisch vermogen.
Terwijl Iraanse spionagegroepen hun bestaande inlichtingenprioriteiten blijven nastreven, maken niet-Iraanse staatsactoren agressief gebruik van het conflict om hun eigen inlichtingenvergaring in de regio uit te breiden. Deze ontwikkeling onderstreept hoe het huidige conflict niet alleen als direct strijdtoneel dient, maar ook als katalysator voor bredere cyberoperaties met strategische doelen.
Regionale impact
Het conflict dient zowel als thematisch lokaas voor social engineering als als drijfveer voor staatsgerichte dreigingsactoren om strategische inlichtingen te verzamelen. De combinatie van traditionele spionage en verstorende cyberoperaties weerspiegelt de complexiteit van de huidige geopolitieke dynamiek in het Midden-Oosten. Proofpoint benadrukt dat de situatie blijft evolueren, met zowel Iraanse als externe actoren die het conflict aangrijpen voor hun eigen doeleinden.
Meer informatie is te vinden in een analyse van Proofpoint, die hier beschikbaar is.
Meer over Proofpoint
Over Wouter Hoeffnagel
