Согласно анализу, проведенному исследовательским подразделением Unit 42 компании по кибербезопасности Palo Alto Networks, с началом конфликта на Ближнем Востоке наблюдается существенный рост активности хакеров, поддерживающих Иран, за пределами страны. В то же время, действия государственных киберструктур внутри Ирана значительно ограничены из-за резкого снижения доступности интернета, которая упала до 1-4%.

По данным Unit 42, фактическое отключение интернета, наряду с ударами по командным структурам иранского руководства, создает серьезные трудности для координации и осуществления сложных кибератак со стороны группировок, связанных с государством. Тем не менее, «хактивистские» группы, действующие за пределами Ближнего Востока и связанные с Ираном, продолжают свою активную деятельность. По оценкам, на 2 марта 2026 года в мире функционировало около 60 таких группировок.

Большинство их действий включает нарушения низкого и среднего уровня: DDoS-атаки, кампании по взлому и уничтожению данных, а также атаки на веб-сайты. В числе наиболее известных группировок выделяется Handala Hack, имеющая связи с министерством разведки и безопасности Ирана. Среди других активных группировок можно упомянуть: APT Iran, The Cyber Islamic Resistance (объединяющая RipperSec и Cyb3rDrag0nzz), Dark Storm Team, The FAD Team, Evil Markhors, Sylhet Gang, 313 Team и DieNet.

Целями их атак стали израильские платежные системы, системы противовоздушной обороны, сайты банков Израиля и Иордании, аэропорты Бахрейна, Саудовской Аравии и ОАЭ, а также правительственные сайты и силовые структуры Кувейта. Также была выявлена активная фишинговая кампания с использованием вредоносной версии приложения оповещения «Цева Адом» израильского Ведомства тыла. Данное приложение распространяется через SMS и служит для установки вредоносного ПО, собирающего данные с Android-устройств.

Группировка Handala Hack расширила свои действия, направив угрозы убийством на электронные адреса граждан США и Канады иранского происхождения, утверждая, что их домашние адреса были переданы исполнителям. Пророссийские хактивистские группы, такие как Cardinal, NoName057(16) и Russian Legion, также сообщили о своих действиях против систем ЦАХАЛа, в том числе о проникновении в систему «Железный купол» и закрытые серверы.

Unit 42 предупреждает, что иранские государственные группировки могут активизировать свои действия в ближайшие недели, нацеливаясь прежде всего на региональные и высокоценные объекты.