Laut der Warnung erlebten Organisationen aus mehreren Sektoren der kritischen Infrastruktur Störungen durch böswillige Eingriffe in Projektdateien sowie durch die Manipulation von Daten, die auf Bedienoberflächen (Human Machine Interface, HMI) und auf SCADA-Systemen (Supervisory Control and Data Acquisition) angezeigt werden. Seit mindestens März 2026 hätten die beteiligten Behörden im Austausch mit betroffenen Organisationen eine iranisch verbundene APT-Gruppe identifiziert, welche die Funktion von PLCs gestört habe.

Die Warnung erscheint eine Woche, nachdem ein Wasseraufbereitungswerk in Minot im US-Bundesstaat North Dakota einen Ransomware-Angriff gemeldet hatte. Ein Stadtvertreter aus Minot erklärte gegenüber Recorded Future News, man habe den Vorfall als Ransomware-Angriff bezeichnet, es habe jedoch keine direkte Geldforderung und über „einen Brief auf einem Bildschirm" hinaus keine direkte Interaktion gegeben. Das FBI bestätigte gegenüber Recorded Future News, an den Ermittlungen zu dem Vorfall in Minot sowie zu einem separaten Angriff auf eine Bezirksverwaltung in Indiana beteiligt zu sein.

Die FBI-Warnung hebt insbesondere die Schwachstelle CVE-2021-22681 hervor, die OT-Produkte von Rockwell betrifft. Die Cybersicherheitsbehörde CISA erklärte, die Lücke sei vor einem Monat ausgenutzt worden, und wies alle Bundesbehörden an, sie bis zum 26. März zu schließen. Betreibern wird geraten, PLCs und andere Betriebstechnik aus dem direkten Internetzugang zu entfernen und ihre Protokolle auf verdächtigen Datenverkehr zu prüfen.

Die Behörden ziehen eine Parallele zu einer iranischen Kampagne in den Jahren 2023 und 2024, bei der mit dem Korps der Islamischen Revolutionsgarden (IRGC) verbundene Hacker PLCs des israelischen Herstellers Unitronics ins Visier nahmen. In der aktuellen Warnung gaben US-Vertreter erstmals bekannt, dass bei der Kampagne von 2023 mindestens 75 Geräte kompromittiert wurden. Während es sich damals weitgehend um Verunstaltungen von Versorgungstechnik handelte, warnten die Behörden bereits seinerzeit, die Angreifer könnten ihren Zugang nutzen, um tiefer in Netzwerke vorzudringen und physische Schäden an Anlagen zu verursachen.

Nach Angaben von Verteidigern setzten iranische Akteure ihre Angriffe auf kritische US-Infrastruktur seit 2023 fort. Rob Lee, Chef von Dragos, sagte Reportern im Februar, dieselbe Gruppe hinter den Angriffen von 2023 konzentriere sich weiterhin auf Energieversorger, Öl und Gas, den Bahnverkehr sowie den Wassersektor. Die Gruppe zeige „eine beständige Fähigkeit, Regelkreise und physische Prozesse immer besser zu verstehen, statt nur Bedienoberflächen zu verunstalten".

Das US-Außenministerium setzte Belohnungen von je 10 Millionen Dollar für Hinweise auf die Verantwortlichen der Angriffe von 2023 aus und benannte ausdrücklich sechs mutmaßlich mit IRGC-Hackergruppen verbundene Sicherheitsbeamte. Einer von ihnen, Hamid Reza Lashgarian, leitet das Cyber-Electronic Command (CEC) der IRGC.

Der seit Ende Februar andauernde Konflikt zwischen den USA, Israel und dem Iran hat bereits Folgen im Cyberraum: Bei einem namhaften Medizintechnik-Unternehmen wurden 200.000 Geräte gelöscht, weitere Angriffe wurden gemeldet. Fachleute gehen zudem von Dutzenden weiteren, nicht öffentlich gemachten iranisch verbundenen Angriffen aus.