Los investigadores de ciberseguridad han capaz sobre un aumento en la actividad hacktivista de represalia luego de la campaña marcial coordinada entre Estados Unidos e Israel contra Irán, con nombres en código Epic Fury y Roaring Lion.
“La amenaza hacktivista en Medio Oriente está muy desequilibrada, con dos grupos, Keymous+ y DieNet, impulsando casi el 70% de toda la actividad de ataque entre el 28 de febrero y el 2 de marzo”, dijo Radware en un noticia del martes. El primer ataque distribuido de denegación de servicio (DDoS) fue decidido por Hider Nex (además conocido como Túnezn Maskers Cyber Force) el 28 de febrero de 2026.
Según detalles compartidos por Orange Cyberdefense, Hider Nex es un umbroso clase hacktivista tunecino que apoya causas pro-palestinas. Aprovecha una organización de pirateo y filtración que combina ataques DDoS con violaciones de datos para filtrar datos confidenciales y avanzar en su memorándum geopolítica. El clase surgió a mediados de 2025.
En total, se registraron un total de 149 reclamaciones de hacktivistas DDoS dirigidas a 110 organizaciones distintas en 16 países. Los ataques fueron llevados a término por 12 grupos diferentes, entre ellos Keymous+, DieNet y NoName057(16), que representaron el 74,6% de toda la actividad.
De estos ataques, la gran mayoría, 107, se concentraron en Medio Oriente y apuntaron desproporcionadamente a infraestructuras públicas y objetivos a nivel estatal. Europa fue el objetivo del 22,8% de la actividad total total durante el período. Casi el 47,8% de todas las organizaciones objetivo a nivel mundial pertenecían al sector gubernativo, seguido por los sectores de finanzas (11,9%) y telecomunicaciones (6,7%).
“El frente digital se está expandiendo próximo con el físico en la región, con grupos hacktivistas atacando simultáneamente a más naciones en el Medio Oriente que nunca”, dijo Radware. “La distribución de los ataques adentro de la región se concentró en gran medida en tres naciones específicas: Kuwait, Israel y Jordania, donde Kuwait representó el 28%, Israel el 27,1% y Jordania el 21,5% del total de ataques reclamados”.
Por otra parte de Keymous+, DieNet y NoName057(16), algunos de los otros grupos que han participado en operaciones disruptivas incluyen Nation of Saviors (NOS), Conquerors Electronic Army (CEA), Sylhet Gang, 313 Team, Handala Hack, APT Iran, Cyber Islamic Resistance, Dark Storm Team, FAD Team, Evil Markhors y PalachPro, según datos de Flashpoint, Palo Detención Networks Unit 42 y Radware.
El inteligencia flagrante de los ciberataques se enumera a continuación:
- Grupos hacktivistas prorrusos como Cardinal y Russian Legion afirmaron ocurrir violado las redes militares israelíes, incluido su sistema de defensa antimisiles Iron Dome.
- Se ha observado una campaña activa de phishing por SMS utilizando una réplica fraudulenta de la aplicación RedAlert del Home Front Command israelí para ofrecer vigilancia móvil y malware de filtración de datos. “Al manipular a las víctimas para que descarguen este APK bellaco bajo la apariencia de una aggiornamento urgente en tiempos de combate, los adversarios implementan con éxito una interfaz de alerta completamente sencillo que enmascara un motor de vigilancia invasivo diseñado para aprovecharse de una población hipervigilante”, dijo CloudSEK.
- El Cuerpo de la Control Revolucionaria Islámica de Irán (CGRI) apuntó a los sectores de energía e infraestructura digital en Medio Oriente, atacando a Saudi Aramco y un centro de datos de Amazon Web Services en los Emiratos Árabes Unidos con la intención de “infligir el mayor dolor financiero total como contrapresión a las pérdidas militares”, dijo Flashpoint.
- Cotton Sandstorm (además conocido como Haywire Kitten) revivió su antiguo personaje cibernético, Altoufan Team, afirmando ocurrir pirateado sitios web en Bahréin. “Esto refleja la naturaleza reactiva de las campañas del actor y una inscripción probabilidad de su maduro décimo en intrusiones en todo el Medio Oriente en medio del conflicto”, dijo Check Point.
- Los datos recopilados por Nozomi Networks muestran que el clase de hackers patrocinado por el estado iraní conocido como UNC1549 (además conocido como GalaxyGato, Nimbus Manticore o Subtle Snail) fue el cuarto actor más activo en la segunda fracción de 2025, centrando sus ataques en entidades de defensa, aeroespaciales, de telecomunicaciones y de gobiernos regionales para promover las prioridades geopolíticas de la nación.
- Los principales intercambios de criptomonedas iraníes siguen operativos, pero anunciaron ajustes operativos, ya sea suspendiendo o agrupando retiros, y emitiendo una explorador de riesgos que insta a los usuarios a prepararse para una posible interrupción de la conectividad.
- “Lo que estamos viendo en Irán no es una evidencia clara de una fuga masiva de capitales, sino más correctamente un mercado que gestiona la volatilidad bajo una conectividad restringida y una intervención regulatoria”, dijo Ari Redbord, director total de políticas de TRM Labs. “Durante primaveras, Irán ha operado una crematística sumergida que, en parte, ha utilizado criptomonedas para sortear sanciones, incluso a través de sofisticadas infraestructuras extraterritoriales. Lo que estamos viendo ahora -bajo la presión de la combate, los cortes de conectividad y los mercados volátiles- es una prueba de estrés en tiempo vivo de esa infraestructura y la capacidad del régimen para aprovecharla”.
- Sophos dijo que “observó un aumento en la actividad hacktivista, pero no una subida en el aventura”, principalmente de personas pro-Irán, incluido el equipo Handala Hack y APT Irán en forma de ataques DDoS, desfiguraciones de sitios web y afirmaciones no verificadas de compromisos que involucran infraestructura israelí.
- El Centro Doméstico de Seguridad Cibernética (NCSC) del Reino Unido alertó a las organizaciones sobre un maduro aventura de ciberataques iraníes, instándolas a blindar su postura de ciberseguridad para reponer mejor a los ataques DDoS, la actividad de phishing y los ataques a ICS.
En una publicación compartida en LinkedIn, Cynthia Kaiser, vicepresidenta senior del centro de investigación de ransomware en Halcyon y ex subdirectora adjunta de la División Cibernética de la Oficina Federal de Investigaciones, dijo que Irán tiene un historial de uso de operaciones cibernéticas para tomar represalias contra “desaires políticos percibidos”, y agregó que estas actividades han incorporado cada vez más ransomware.
“Teherán ha preferido durante mucho tiempo hacer la apariencia gorda, o al menos indiferente, a las operaciones cibernéticas privadas contra objetivos en Estados Unidos, Israel y otros países aliados”, añadió Kaiser. “Eso se debe a que tener camino a ciberdelincuentes le da opciones al gobierno. Mientras Irán considera su respuesta a las acciones militares de Estados Unidos e Israel, es probable que active a cualquiera de estos ciberactores si cree que sus operaciones pueden gestar un impacto de represalia significativo”.
La empresa de ciberseguridad SentinelOne además ha evaluado con gran confianza que las organizaciones en Israel, los EE. UU. y las naciones aliadas probablemente enfrenten ataques directos o indirectos, particularmente adentro de los sectores gubernativo, de infraestructura crítica, de defensa, de servicios financieros, clásico y de medios.
“Los actores de amenazas iraníes han demostrado históricamente una voluntad de combinar operaciones de espionaje, perturbación e impacto psicológico para avanzar en objetivos estratégicos”, dijo Nozomi Networks. “En períodos de inestabilidad, estas operaciones a menudo se intensifican, apuntando a infraestructuras críticas, redes de energía, entidades gubernamentales y la industria privada mucho más allá de la zona inmediata del conflicto”.
Para contrarrestar el aventura que plantea el conflicto cinético, se recomienda a las organizaciones activar el monitoreo continuo para reflectar la actividad de amenazas intensificada, desempolvar las firmas de inteligencia de amenazas, dominar la superficie de ataque foráneo, realizar revisiones exhaustivas de la exposición de los activos conectados, validar la segmentación adecuada entre las redes de tecnología de la información y de tecnología operativa, y certificar el aislamiento adecuado de los dispositivos de IoT.
“En conflictos pasados, los actores cibernéticos de Teherán han vinculado su actividad con objetivos estratégicos más amplios que aumentan la presión y la visibilidad de los objetivos, incluida la energía, la infraestructura crítica, las finanzas, las telecomunicaciones y la atención médica”, dijo Adam Meyers, patriarca de Operaciones Contra Adversarios de CrowdStrike, en un comunicado compartido con The Hacker News.
“Los adversarios iraníes han seguido evolucionando su oficio, expandiéndose más allá de las intrusiones tradicionales con destino a la nubarrón y las operaciones centradas en la identidad, lo que los posiciona para comportarse rápidamente en entornos empresariales híbridos con maduro escalera e impacto”.
