In de aanloop naar de gecombineerde Amerikaanse en Israëlische aanvallen eind februari 2026, verhoogden Iraanse cybergroepen hun kwaadaardige infrastructuur aanzienlijk. Volgens een onderzoek van Augur Security, dat gebruikmaakt van AI en gedragsmodellering, waren verschillende door de Iraanse overheid gelinkte groepen al zes maanden voor de operatie Epic Fury actief bezig met het voorbereiden van hun cybercapaciteiten.

De analyse toont aan dat deze groepen, verbonden aan het Iraanse Ministerie van Inlichtingen en Veiligheid (MOIS) en de Islamitische Revolutionaire Garde (IRGC), een meerlaagse infrastructuur inzetten om hun oorsprong te verhullen. Deze infrastructuur begint bij een Iraanse ISP en hostingbedrijf in Teheran, waarna bulletproof hostingproviders in onder andere Moldavië en de Verenigde Staten worden gebruikt. Daarnaast maken zij gebruik van schijnbedrijven, waaronder een in de VS geregistreerd bedrijf dat opereert vanuit Dubai en via een Nederlandse provider routeert, wat onderzoek en handhaving bemoeilijkt.

Een voorbeeld hiervan is UltaHost, dat zowel in de VS als het Verenigd Koninkrijk geregistreerd staat en in februari 2025 een officiële waarschuwing van ICANN ontving wegens schending van registrarovereenkomsten. Volgens Joe Lea, CEO van Augur Security, is het in kaart brengen en verstoren van deze infrastructuur cruciaal om aanvallen te voorkomen voordat ze beginnen.

De rapportage laat een piek zien in infrastructuuractiviteit van grote Iraanse APT-groepen, zoals MuddyWater, in de zes maanden voorafgaand aan de aanvallen. Zo werden in september 2025 binnen 72 uur meerdere netwerken geactiveerd die verbonden zijn aan hostingproviders in Estland, Rusland en het Verenigd Koninkrijk. Dit wijst op een voorbereiding van de infrastructuur voorafgaand aan de gecombineerde operatie Epic Fury en de Israëlische operatie Roaring Lion.

Daarnaast is de groep Handala, die sinds 2023 actief is en onder MOIS valt, betrokken bij datadiefstal en wiper-aanvallen, voornamelijk gericht op Israël. Deze groep heeft haar activiteiten dit jaar opgevoerd als onderdeel van de Iraanse cyberreactie op de aanvallen van eind februari. Andere genoemde APT-groepen zijn onder meer OilRig/APT34, APT35/Charming Kitten, APT33/Peach Sandstorm, Cotton Sandstorm/Emennet Pasargad en CyberAv3ngers, allen gelinkt aan MOIS of IRGC.

Na de aanvallen van 28 februari ontstond binnen 24 uur een Elektronische Operatiekamer die de coördinatie verzorgt van naar schatting zestig of meer hacktivistische groepen. Deze snelle en gecoördineerde respons onderstreept de georganiseerde aard van de Iraanse cyberactiviteiten na de militaire acties.