Conflict in Iran leidt tot verhoogde spionageactiviteiten tegen doelwitten in Midden-Oosten

Op 28 februari 2026 voerden de Verenigde Staten en Israël aanvallen uit op doelen in Iran, in een operatie die door de VS ‘Operation Epic Fury’ werd genoemd. Volgens openbare bronnen waren de aanvallen gericht op Iraanse raketten en luchtverdedigingssystemen, andere militaire infrastructuur en Iraanse leiders. Iran reageerde met vergeldingsaanvallen met raketten en drones in de regio. Deze waren gericht op Amerikaanse ambassades en militaire installaties.

Nu de oorlog zijn tweede week ingaat, hebben verschillende Iraanse hacktivistische groeperingen en personen de verantwoordelijkheid opgeëist voor diverse verstorende operaties. Iraanse spionagegerichte dreigingsgroepen blijven enigszins actief, ondanks het feit dat de Iraanse regering het internet onmiddellijk na de eerste Amerikaanse en Israëlische aanvallen heeft afgesloten. Op 8 maart constateerde Proofpoint bijvoorbeeld dat de met Iran gelieerde dreigingsactor TA453 (Charming Kitten, Mint Sandstorm, APT42) een poging deed om inloggegevens te phishen van een Amerikaanse denktank. De e-mailcorrespondentie die tot deze poging tot phishing van inloggegevens leidde, begon al vóór het begin van het conflict. Dit wijst erop dat TA453 prioriteit blijft geven aan het verzamelen van inlichtingen over zijn traditionele doelwitten.

Het is onduidelijk hoe de bredere Iraanse cyberoperaties zich zullen voortzetten. Toch hebben onderzoekers van Proofpoint sinds het begin van de oorlog ook een toename waargenomen in campagnes van andere door de staat gesponsorde dreigingsactoren die zich richten op overheidsorganisaties in het Midden-Oosten. Deze campagnes werden uitgevoerd door zowel bekende groepen als voorheen onbekende actoren, die vermoedelijk afkomstig zijn uit China, Belarus, Pakistan en Hamas. De campagnes maakten sterk gebruik van aspecten van het conflict als actuele lokcontent om de doelwitten te verleiden. Ook gebruikten ze vaak gehackte accounts van overheidsorganisaties om phishing-e-mails te versturen. Proofpoint schat dat deze activiteit een combinatie is van dreigingsactoren die de oorlog opportunistisch gebruiken als lokaas om routinematige operaties uit te voeren, en actoren die zich meer richten op het verzamelen van inlichtingen over overheids- en diplomatieke instanties in het Midden-Oosten.

De belangrijkste bevindingen van het onderzoek: 

Terwijl het conflict tussen Iran en regionale actoren voortduurt, blijven de activiteiten van Iraanse dreigingsactoren een mix van traditionele spionage en verstorende campagnes ter ondersteuning van oorlogsinspanningen. Proofpoint heeft ook een reeks niet-Iraanse dreigingsgroepen waargenomen die zich richten op regeringen in het Midden-Oosten met social engineering, die het conflict thematisch in gebruik nemen. Hoewel verschillende van deze groepen de oorlogsgerelateerde lokinhoud gebruikten in operaties die grotendeels overeenkomen met hun gebruikelijke doelwitten, vertoonden andere een verschuiving richting het verzamelen van inlichtingen tegen overheids- en diplomatieke entiteiten in het Midden-Oosten. Dit weerspiegelt waarschijnlijk een poging om regionale inlichtingen te verzamelen over de stand van zaken, het verloop en de bredere geopolitieke implicaties van het conflict. Dit suggereert dat het conflict zowel wordt gebruikt als een actueel social engineering-voorwendsel als een drijfveer voor de verzameling prioriteiten van een reeks staatsgerichte dreigingsactoren.

Lees voor meer informatie hier het volledige Engelstalige bericht.