Po przeprowadzonych pod koniec lutego uderzeniach militarnych Stanów Zjednoczonych i Izraela na cele w Iranie wzrosła aktywność proirańskich grup hacktywistycznych w cyberprzestrzeni. Analitycy zespołu Counter Threat Unit (CTU) firmy Sophos odnotowali zwiększoną liczbę deklaracji cyberataków publikowanych w serwisach Telegram i X oraz na forach w tzw. dark webie. Na razie większość z nich ma jednak ograniczony wpływ na działalność operacyjną organizacji.
Wzrost aktywności nastąpił po skoordynowanych operacjach militarnych przeprowadzonych 28 lutego 2026 r. przez USA i Izrael przeciwko irańskim instalacjom wojskowym i strukturom dowódczym. W reakcji w internecie pojawiła się fala zapowiedzi cyfrowych ataków ze strony środowisk sympatyzujących z Teheranem.
Jak wskazują badacze Sophos, wiele z tych działań ma charakter typowy dla hacktywizmu i rzadko prowadzi do poważnych skutków. Najczęściej obejmuje podmiany treści na stronach internetowych, ataki DDoS oraz publikowanie danych osobowych osób powiązanych z izraelskimi instytucjami.
Jedną z najbardziej widocznych grup jest Handala Hack Team, obserwowana od 2023 r. Organizacja ta publikuje w mediach społecznościowych groźby wobec izraelskich obywateli oraz deklaracje ataków na infrastrukturę kraju, choć część z nich pozostaje niepotwierdzona. Na początku marca uruchomiła również serwis „RedWanted”, zawierający listę osób i organizacji uznawanych za wspierające Izrael.
Wzmożoną aktywność odnotowano także w przypadku grupy APTIran, która w serwisie Telegram zachęca sympatyków do prowadzenia cyberataków odwetowych. Od końca lutego publikuje ona informacje o rzekomych wyciekach danych oraz przejęciu systemów powiązanych z izraelską infrastrukturą krytyczną, choć ich autentyczność nie została potwierdzona.
Po eskalacji konfliktu pojawiły się także nowe lub reaktywowane grupy wspierające Iran, m.in. Cyber Toufan, Cyber Support Front czy Iranian Avenger. Część z nich rozpowszechnia dezinformację lub wzywa do przemocy.
Zdaniem ekspertów Sophos interesującym sygnałem jest także aktywność środowisk cyberprzestępczych. Operatorzy usługi ransomware BaqiyatLock zaproponowali bezpłatne członkostwo afiliacyjne hacktywistom gotowym atakować izraelskie cele. Analitycy podkreślają jednak, że wiele nowych lub reaktywowanych grup ogranicza się do nieskomplikowanych działań oraz publikowania przesadzonych lub niepotwierdzonych informacji o rzekomych sukcesach.
Chociaż większość aktywności koncentruje się na izraelskich celach, udział Stanów Zjednoczonych w operacjach militarnych może zwiększyć ryzyko cyberataków również na podmioty amerykańskie. Wzrost zagrożenia może dotyczyć także instytucji działających w krajach Zatoki Perskiej.
Eksperci zalecają organizacjom zwiększenie poziomu ochrony systemów IT, w tym monitorowanie kampanii phishingowych i prób przejmowania danych uwierzytelniających, ograniczanie liczby usług dostępnych z internetu oraz szybkie aktualizowanie oprogramowania. Irańskie grupy często wykorzystują publicznie znane podatności zamiast nieujawnionych wcześniej luk w zabezpieczeniach.
