Die verantwortlichen Behörden ordnen die Kampagne in die Nähe früherer Operationen Iran-naher Gruppen ein. Sie verweisen auf CyberAv3ngers, eine mit den Islamischen Revolutionsgarden (IRGC) verbundene Gruppe, die zuvor PLCs in US-Infrastruktursektoren ins Visier genommen hatte und vor allem durch Angriffe auf den Wassersektor bekannt wurde.

Laut OpenAI nutzten der Gruppe zugeordnete Konten den Chatbot ChatGPT, um Angriffe auf industrielle Steuerungssysteme (ICS) zu planen. Den Angaben zufolge dienten die Konten der Aufklärung, der Unterstützung bei der Ausnutzung von Schwachstellen, der Umgehung von Erkennung sowie Aktivitäten nach einer erfolgreichen Kompromittierung. CyberAv3ngers attackierte unter anderem ein Wasserversorgungsunternehmen in Irland – dort blieben Menschen zwei Tage ohne Wasser –, einen Versorger in Pennsylvania sowie weitere Wasseranlagen in den USA.

Die Behörden fordern Organisationen auf, von einer möglichen Betroffenheit auszugehen und ihre OT-Umgebungen vorausschauend auf Schwachstellen zu prüfen, bevor Angreifer sie ausnutzen. Herunterladbare IOC-Listen wurden in den Formaten XML und JSON bereitgestellt.

Die Angriffe fügen sich in ein größeres Muster zunehmender Iran-naher Operationen ein. Der Medizintechnikkonzern Stryker wurde von der Gruppe Handala angegriffen, die nach vorliegenden Berichten mehr als 200.000 Geräte des Unternehmens löschte. Kürzlich brachte die US-Regierung die Gruppe Handala offiziell mit der iranischen Regierung in Verbindung; die Mitteilung erfolgte im Zuge der Abschaltung mehrerer von Handala genutzter Websites.

Handala ist Sicherheitsfirmen seit Jahren bekannt, erlangte jedoch in jüngster Zeit größere Aufmerksamkeit, nachdem die Gruppe ihre Aktivitäten nach dem Beginn des Konflikts zwischen den USA, Israel und Iran ausgeweitet hatte. In einem gesonderten Vorfall verschaffte sich Handala Zugriff auf das private E-Mail-Konto von FBI-Direktor Kash Patel und veröffentlichte angeblich daraus stammende Fotos und E-Mails; den Behörden zufolge wurden dabei keine Regierungsinformationen offengelegt.

Bereits zuvor hatte die US-Regierung Belohnungen von bis zu 10 Millionen US-Dollar für Hinweise auf Mitglieder der iranischen Gruppe Emennet Pasargad ausgelobt. Eine Analyse der Sicherheitsfirma Augur Security beschreibt zudem einen über sechs Monate aufgebauten Iran-nahen Cyber-Unterbau, darunter in den USA ansässige Briefkastenfirmen, der darauf angelegt sei, militärische Schläge zu überstehen und die Widerstandsfähigkeit der weltweiten Hacking-Operationen zu sichern.