Recente cyberaanvallen die worden toegeschreven aan Iraanse dreigingsactoren gaan verder dan traditionele netwerkverstoring. In plaats van geïsoleerde sabotagegevallen maken deze aanvallen deel uit van een bredere strategie waarbij Iran inzet op asymmetrische vergelding en proxy-operaties. Iraanse groepen gebruiken cyberspace steeds vaker als strategisch gelijkmaker, waarbij cyberoperaties een kosteneffectief middel vormen om te reageren zonder geografische grenzen te overschrijden.

Deze ontwikkelingen vergroten het cyberrisico voor organisaties wereldwijd, doordat traditionele malware wordt gecombineerd met nieuw soort identiteitsmisbruik. De verschuiving van op maat gemaakte wiper-malware naar het misbruiken van legitieme beheerdersrechten verwijdert een belangrijke detectielaag die bedrijven voorheen beschermde. Iraanse cyberactoren maken steeds meer gebruik van 'living-off-the-land'-technieken, waarbij ze bestaande beheertools inzetten om grootschalige verstoringen te veroorzaken en detectie te ontwijken.

Een voorbeeld hiervan is een recente aanval waarbij onder het pseudoniem Void Manticore (Handala) geen zero-day malware werd ingezet, maar waarbij gecompromitteerde beheerdersidentiteiten werden gebruikt om legitieme remote-wipe commando’s naar meer dan 200.000 apparaten wereldwijd te sturen. Dit toont aan dat Iraanse APT-groepen mobiele apparaatbeheerplatforms niet zien als beheermiddelen, maar als krachtige aanvalsvectoren die traditionele detectiemethoden omzeilen.

De escalatie van Iraanse cyberactiviteiten is al sinds 2012 zichtbaar, met aanvallen die steeds geavanceerder en grootschaliger werden. Tussen 2016 en 2019 richtten groepen als Curious Serpens (APT33) en Evasive Serpens (APT34) zich op IT-infrastructuur met zichtbare wiper-malware zoals Shamoon, ZeroCleare en Dustman. Deze aanvallen waren gericht op maximale operationele verstoring en maakten gebruik van aangepaste drivers om de master boot record te overschrijven.

Tussen 2020 en 2022 pasten Iraanse dreigingsactoren hun tactiek aan door ransomware en supply chain compromissen in te zetten, wat plausibele ontkenning mogelijk maakte. De huidige trend laat zien dat Iraanse cyberdreigingen zich ontwikkelen van zichtbare sabotage naar subtieler en effectiever identiteitsmisbruik, waarmee ze een nieuwe fase van cyberretaliatie zijn ingegaan.