Tijdens gezamenlijke preventieve luchtaanvallen van Israëlische en Amerikaanse troepen op Teheran, vond een geavanceerde cyber-psychologische operatie plaats. Miljoenen Iraanse burgers en militair personeel werden niet alleen gewekt door explosies, maar ook door ongeautoriseerde push notificaties van een gecompromitteerde mobiele applicatie. Dit incident markeert een nieuwe escalatie in cyberoorlog tussen natiestaten, waarbij digitale inbraak wordt gecombineerd met kinetische militaire operaties.

De primaire vector voor dit digitale offensief was de 'BadeSaba Calendar', een populaire gebedstijden-app met meer dan 5 miljoen downloads in de Google Play Store. Kort na het begin van de fysieke aanvallen op zaterdagochtend, werd het notificatiesysteem van de app gekaapt om berichten van psychologische oorlogsvoering uit te zenden. Vanaf 09:52 uur lokale tijd ontvingen gebruikers een reeks push notificaties met de titel "Hulp is onderweg". Screenshots toonden aan dat deze berichten Iraanse militairen expliciet opriepen hun posten te verlaten en hun wapens neer te leggen in ruil voor amnestie.

De exacte malware of exploitatietechniek is nog niet geidentificeerd. Cybersecurity experts beschouwen dit als een gecoordineerde operatie van een natiestaat en niet als een standaard cybercriminele aanval. De dreigingsactoren hebben waarschijnlijk de backend infrastructuur van de applicatie al vroegtijdig gecompromitteerd en de notificaties klaargezet als getriggerde payloads, perfect getimed om samen te vallen met de kinetische luchtaanvallen.

Gelijktijdig met de app-inbreuk ervoer Iran een ernstige digitale black-out. Het nationale netwerkverkeer daalde tot slechts 4 procent van het normale niveau. Staatsgelieerde persbureaus, waaronder IRNA en ISNA, werden offline gehaald door vermoedelijke gecoordineerde cyberaanvallen.

Het Amerikaanse Cyber Command heeft online aanvallen uitgevoerd op Iraanse communicatiesystemen, wat volgens een topgeneraal de weg vrijmaakte voor een gezamenlijke Amerikaanse en Israëlische bombardementscampagne. Tijdens een persconferentie in het Pentagon verklaarde generaal Dan Caine, voorzitter van de Joint Chiefs of Staff, dat de acties van het Cyber Command, samen met het U.S. Space Command, essentieel waren in het ondersteunen van de missie genaamd "Operation Epic Fury". Deze operatie resulteerde in de dood van de Iraanse Supreme Leider Ayatollah Ali Khamenei en andere hooggeplaatste Iraanse functionarissen.

Volgens Caine hebben gecoördineerde ruimte- en cyberoperaties de communicatie- en sensornetwerken in het betreffende gebied effectief verstoord, waardoor de tegenstander niet in staat was om effectief te zien, te coördineren of te reageren. Deze inspanningen hebben bijgedragen aan het verstoren, desoriënteren en verwarren van de vijand.

Caine's opmerkingen vormen de meest expliciete erkenning tot nu toe van de rol van Cyber Command in de militaire operaties die de tweede termijn van de regering-Trump hebben gekenmerkt. Eerder meldde Recorded Future News al dat het commando vorig jaar Iraanse raketafweersystemen had verstoord ter ondersteuning van een succesvolle bombardementsoperatie tegen belangrijke nucleaire sites in Iran. Caine en president Donald Trump hadden eerder dit jaar al gezinspeeld op de inspanningen van Cyber Command om de stroom in de Venezolaanse hoofdstad uit te schakelen en om de luchtverdedigingsradar en handradio's te verstoren als onderdeel van de missie om president Nicolás Maduro gevangen te nemen.

Sinds de gezamenlijke Amerikaans-Israëlische aanvallen op doelen in Iran zijn er een aantal cyberoperaties uitgevoerd, waaronder de hacking van meerdere nieuwssites en een religieuze kalender-app, naar verluidt door Israëlische digitale troepen. Deze acties bevatten berichten waarin werd opgeroepen tot desertie en verzet tegen het Iraanse regime.

Zowel Washington als Jeruzalem bereiden zich voor op mogelijke vergeldingsaanvallen van Iraanse proxygroepen of bondgenoten van Teheran. In het verleden heeft Iran een reeks kwaadaardige activiteiten uitgevoerd, variërend van ransomwareaanvallen tot denial-of-service aanvallen. Jordanië meldde dat zijn National Cybersecurity Center een Iraanse cyberaanval op de graanopslagsystemen van het land had verijdeld.

Bron: wsj.com | Bron 2: recordedfuture.com

Cisco Talos houdt de ontwikkelingen in het Midden-Oosten in de gaten en waarschuwt voor mogelijke cyberincidenten die verband houden met het conflict. Tot nu toe zijn er enkele kleine incidenten waargenomen, zoals website defacements en kleinschalige DDoS aanvallen. Talos verwacht dat Iraanse groeperingen zich vooral zullen richten op spionage, destructieve aanvallen en hack-and-leak operaties.

Hoewel de focus van het conflict momenteel op kinetische activiteiten lijkt te liggen, kan de situatie veranderen. Talos ziet nog geen significante toename van cyberactiviteit door statelijke actoren of aan hen gelieerde groepen. Wel waarschuwen ze voor sympathiserende groepen, zoals hacktivisten, die website defacements en DDoS campagnes kunnen uitvoeren. Cybercriminelen kunnen proberen de situatie uit te buiten door middel van social engineering, waarbij ze het conflict gebruiken als dekmantel voor het verspreiden van malware via links en documenten.

Talos adviseert organisaties om extra alert te zijn en de basisprincipes van security hygiene toe te passen, zoals multi-factor authenticatie (MFA), waakzaamheid bij het klikken op links en het openen van documenten, en adequate monitoring om voorbereid te zijn op eventuele gevolgen. Organisaties dienen zich bewust te zijn van de impact op partners en leveranciers in de regio en mogelijk extra inspecties of controles uit te voeren.

Werknemers worden gewaarschuwd voor "hacktivistische" lokmiddelen, zoals links met nieuws of humanitaire hulp, die kunnen leiden tot infostealers of backdoors. Talos adviseert om de frequentie van phishing-simulaties te verhogen met actuele geopolitieke thema's. Daarnaast is het belangrijk om de afhankelijkheden van de organisatie in kaart te brengen, inclusief leveranciers, service providers en ontwikkelaars in of verbonden met het conflictgebied. Voor toegang door derden dient strikte MFA te worden gehanteerd en "zero-trust" audits uit te voeren op administratieve tools. Om publieke merken te beschermen, wordt het gebruik van een Content Delivery Network (CDN) met DDoS mitigatie aanbevolen en web content management systemen (CMS) volledig te patchen. Zorg er tevens voor dat alle software is bijgewerkt naar de nieuwste versies.

Bron: Cisco Talos

Op 28 februari 2026 lanceerden de Verenigde Staten en Israël een gezamenlijke offensieve operatie genaamd "Epic Fury" (VS) en "Roaring Lion" (Israël). In de uren na deze actie begon Iran een vergeldingscampagne die is uitgegroeid tot een transregionaal conflict, aldus Unit 42.

Unit 42 heeft een toename waargenomen in cyberaanvallen van activisten buiten Iran. De beperkte internetconnectiviteit in Iran (tussen 1-4% sinds 28 februari 2026) zal naar verwachting de capaciteit van staatstroepen om gecoördineerde cyberaanvallen uit te voeren, hinderen. Dit kan leiden tot tactische autonomie voor cellen buiten Iran, hoewel de capaciteit voor complexe operaties waarschijnlijk verminderd is.

Iraanse hacktivistische groepen zullen zich richten op organisaties die als tegenstanders worden gezien, maar de impact hiervan zal waarschijnlijk laag tot gemiddeld zijn. Andere staatstroepen kunnen proberen de situatie te misbruiken om cyberaanvallen te activeren die hun eigen belangen dienen. Geografisch verspreide operators en cyber proxies kunnen zich richten op overheden in regio's met Amerikaanse militaire bases om de logistiek te verstoren. Deze activiteiten zullen waarschijnlijk bestaan uit verstoringen met een lage tot gemiddelde complexiteit, zoals DDoS aanvallen en hack en lek campagnes.

Bron: Unit 42 | Bron 2: virustotal.com

Onderzoekers hebben een vermeende Russische spionagecampagne ontdekt die gericht is op Oekraïne. Hierbij worden twee niet eerder gedocumenteerde malwarevarianten gebruikt. De campagne begint met een phishingmail met een link naar een ZIP archief. Dit archief bevat een kwaadaardig document in het Oekraïens, dat een vergunning lijkt te verlenen voor het overschrijden van een Oekraïens grenspunt, aldus onderzoekers van cybersecuritybedrijf ClearSky.

Het openen van het archief triggert de download van een malwareloader genaamd BadPaw, die vervolgens een tweede tool installeert, genaamd MeowMeow. MeowMeow is een geavanceerde backdoor die aanvallers toegang geeft tot geïnfecteerde systemen en lokaal opgeslagen bestanden kan manipuleren. Volgens ClearSky kan de backdoor controleren of specifieke bestanden op een apparaat aanwezig zijn en gegevens op de geïnfecteerde machine lezen, schrijven of verwijderen.

Beide malwarevarianten bevatten mechanismen die zijn ontworpen om detectie te vermijden. De MeowMeow backdoor scant geïnfecteerde systemen op tekenen van virtuele machines en veelgebruikte tools voor cybersecurityanalyse. De malware beëindigt zichzelf automatisch als het een onderzoeks- of sandboxomgeving detecteert.

ClearSky schrijft de campagne met een hoge mate van zekerheid toe aan een Russische, door de staat gesteunde dreigingsactor, en met een lage mate van zekerheid aan de hackinggroep APT28, ook wel bekend als Fancy Bear, BlueDelta of Forest Blizzard. De focus op Oekraïense entiteiten, in combinatie met de geopolitieke aard van de lokmail, komt overeen met de Russische strategische doelstellingen, aldus de onderzoekers.

De phishingmails werden verzonden vanaf adressen die worden gehost door ukr.net, een veelgebruikte Oekraïense e-maildienst die volgens onderzoekers in eerdere campagnes gekoppeld aan APT28 is gebruikt om inloggegevens te verzamelen en informatie te verzamelen. Het rapport vermeldt niet de doelwitten van de campagne of dat de aanvallen succesvol waren.

CERT-UA, het Oekraïense computer emergency response team, meldde eerder deze week een afzonderlijke hackingcampagne gericht op Oekraïense overheidsinstellingen met behulp van de ShadowSniff- en SalatStealer malware die informatie steelt. Het agentschap schreef de activiteit toe aan een dreigingsactor die wordt gevolgd als UAC-0252.

Bron: ClearSky | Bron 2: cert.gov.ua | Bron 3: recordedfuture.com

Na het uitbreken van openlijke conflicten tussen Iran, Israël en de Verenigde Staten is een nieuw hoofdstuk in de geopolitiek van het Midden-Oosten aangebroken. Vorige week lanceerden de Amerikaanse en Israëlische strijdkrachten Operation Lion's Roar, een gecoördineerde militaire aanval gericht op Iraanse militaire en nucleaire installaties. De aanval leidde onmiddellijk tot vergeldingsmaatregelen van Iran, die zich snel uitbreidden van fysieke slagvelden tot raket- en droneaanvallen in de Golfregio.

Naarmate het fysieke conflict intensiveert, is het cyberdomein tegelijkertijd uitgegroeid tot een kritiek en actief slagveld. Iraanse, aan de staat gelieerde cyberactoren, die al lange tijd worden erkend om hun geavanceerde aanhoudende dreigingscapaciteiten, richten zich routinematig op buitenlandse netwerken en industriële controlesystemen als onderdeel van bredere strategische doelstellingen. Deze operaties zijn bedoeld om de infrastructuur en de besluitvormingsprocessen van tegenstanders te verstoren, te degraderen of te beïnvloeden, met name in perioden van verhoogde geopolitieke spanning.

Exploitatie van standaard inloggegevens, misbruik van geldige accounts, brute force aanvallen en actieve netwerkscans domineren het huidige detectielandschap, wat erop wijst dat aanvallers in stilte doelomgevingen in kaart brengen om waardevolle activa te identificeren en een voet aan de grond te krijgen. Uit waarnemingen van de afgelopen twee weken blijkt dat de MITRE ATT&CK technieken sterk suggereren dat tegenstanders zich momenteel in een vroege verkennings- en positioneringsfase bevinden. Organisaties in het Midden-Oosten lopen een bijzonder groot risico, aangezien 61% van de gedetecteerde kwetsbaarheden in de regio HOGE of KRITIEKE CVSS scores hebben, ruim boven het wereldwijde gemiddelde van 48%. Kwetsbaarheden met een EPSS score boven 1% zijn ook goed voor ongeveer 8% van de detecties in de regio, het dubbele van het wereldwijde gemiddelde van 4%.

Vier belangrijke dreigingsgroepen stimuleren momenteel deze toename van activiteit. MuddyWater, vermoedelijk opererend namens het Iraanse ministerie van Inlichtingen en Veiligheid, is goed gedocumenteerd voor cyberespionagecampagnes tegen overheidsinstanties, energiebedrijven en telecommunicatieproviders in het Midden-Oosten, Europa, Azië en Noord-Amerika. OilRig, ook bekend als APT34 en Helix Kitten, richt zich voornamelijk op financiële diensten, defensiecontractanten en energieorganisaties door middel van spearphishing en het verzamelen van inloggegevens. APT33, ook bekend als Elfin of Refined Kitten, is actief in de lucht- en ruimtevaart-, luchtvaart-, energie- en overheidssector en heeft een staat van dienst op het gebied van zowel spionage als potentieel ontwrichtende operaties. De vierde groep, UNC1549, richt haar campagnes op defensie-, lucht- en ruimtevaart- en telecommunicatie entiteiten en stemt haar operaties nauw af op de bredere geopolitieke prioriteiten van Iran.

Kritieke infrastructuurbedrijven worden geconfronteerd met een groeiende golf van destructieve malwarecampagnes, gerichte spionage en opzettelijke aanvallen, gedreven door Iraanse dreigingsactoren die digitale operaties inzetten als een strategische krachtvermenigvuldiger. Nozomi analisten van Palo Alto Networks volgen deze evoluerende situatie op de voet, volgen zorgvuldig de activiteit van aan Iran gelinkte dreigingsgroepen en observeren een systematische toename van de bijbehorende APT-activiteit gedurende de afgelopen twee weken. De productie- en transportsector zijn in deze vroege fase van het conflict de meest voorkomende doelwitindustrieën gebleken.

Bron: Nozomi Networks

Cybersecurity onderzoekers waarschuwen voor een toename van hacktivistische activiteiten als gevolg van de militaire campagne van de VS en Israël tegen Iran, genaamd Epic Fury en Roaring Lion. Tussen 28 februari en 2 maart waren Keymous+ en DieNet verantwoordelijk voor bijna 70% van alle aanvalsactiviteiten, aldus een rapport van Radware. De eerste DDoS-aanval werd gelanceerd door Hider Nex (Tunisian Maskers Cyber Force) op 28 februari 2026.

Orange Cyberdefense meldt dat Hider Nex een Tunesische hacktivistische groep is die pro-Palestijnse doelen steunt. De groep gebruikt een hack-and-leak strategie, waarbij DDoS-aanvallen worden gecombineerd met datalekken om gevoelige data te lekken en hun geopolitieke agenda te bevorderen. De groep is actief sinds medio 2025.

In totaal werden 149 hacktivistische DDoS-claims geregistreerd, gericht op 110 verschillende organisaties in 16 landen. De aanvallen werden uitgevoerd door 12 verschillende groepen, waaronder Keymous+, DieNet en NoName057(16), die samen 74,6% van alle activiteit voor hun rekening namen.

Het merendeel van de aanvallen (107) was geconcentreerd in het Midden-Oosten, waarbij vooral publieke infrastructuur en overheidsdoelen werden getroffen. Europa was het doelwit van 22,8% van de totale wereldwijde activiteit in die periode. Bijna 47,8% van alle doelwitorganisaties wereldwijd behoorde tot de overheidssector, gevolgd door de financiële sector (11,9%) en de telecommunicatiesector (6,7%).

Volgens Radware breidt het digitale front zich uit in de regio, waarbij hacktivistische groepen tegelijkertijd meer landen in het Midden-Oosten aanvallen dan ooit tevoren. De aanvallen waren geconcentreerd in Koeweit (28%), Israël (27,1%) en Jordanië (21,5%). Naast Keymous+, DieNet en NoName057(16) zijn andere groepen die betrokken zijn bij disruptieve operaties onder meer Nation of Saviors (NOS), de Conquerors Electronic Army (CEA), Sylhet Gang, 313 Team, Handala Hack, APT Iran, de Cyber Islamic Resistance, Dark Storm Team, the FAD Team, Evil Markhors en PalachPro. Deze data is afkomstig van Flashpoint, Palo Alto Networks Unit 42 en Radware.

Pro-Russische hacktivistische groepen zoals Cardinal en Russian Legion claimen Israëlische militaire netwerken te hebben gehackt, waaronder het Iron Dome raketafweersysteem. Er is een actieve SMS phishing campagne waargenomen die een replica van de Israëlische Home Front Command RedAlert applicatie gebruikt om mobiele surveillance en data-exfiltrerende malware te verspreiden.

Flashpoint meldt dat Iran's Islamic Revolutionary Guard Corps (IRGC) de energie- en digitale infrastructuur in het Midden-Oosten aanviel, waarbij Saudi Aramco en een Amazon Web Services datacenter in de V.A.E. werden getroffen. Check Point meldt dat Cotton Sandstorm (Haywire Kitten) zijn oude cyber persona, Altoufan Team, heeft nieuw leven ingeblazen en claimt websites in Bahrein te hebben gehackt.

Sophos heeft een toename van hacktivistische activiteit waargenomen, maar geen escalatie in risico, voornamelijk van pro-Iran persona's, waaronder Handala Hack team en APT Iran in de vorm van DDoS-aanvallen, website defacements en niet-geverifieerde claims van compromissen met betrekking tot Israëlische infrastructuur. Het Britse National Cyber Security Centre (NCSC) waarschuwde organisaties voor een verhoogd risico op Iraanse cyberaanvallen en spoorde hen aan hun cybersecurity te versterken om beter te reageren op DDoS-aanvallen, phishing en ICS targeting.

Bron: Check Point | Bron 2: sophos.com | Bron 3: cisa.gov

Maart 2026