Handala gilt als der mit Abstand am häufigsten genannte Bedrohungsakteur dieses Konflikts. Die Gruppe reklamierte sowohl den ransomware-artigen Angriff auf Stryker — den bislang größten Erfolg auf iranischer Seite — als auch die Kompromittierung des privaten E-Mail-Kontos von FBI-Direktor Kash Patel, den bislang symbolträchtigsten Vorfall.
In einer Mitteilung auf ihrem Telegram-Kanal räumte Handala ein, auf Anordnung der höchsten Führung im Iran ihre Cyberaktivitäten gegen die USA ausgesetzt zu haben. Zugleich schränkte sie ihren Cyber-Waffenstillstand ein: Der Cyberkrieg habe nicht mit dem militärischen Konflikt begonnen und werde auch mit keiner militärischen Waffenruhe enden. Gegen Israel will die Gruppe weiterhin sämtliche Geschütze richten.
Sergey Shykevich, Threat-Intelligence-Group-Manager bei Check Point Research, hält es für zu früh, eine Einschätzung zu treffen. Trotz aller Versprechen wäre er nicht überrascht, wenn die Gruppe binnen zwei Wochen ihre Angriffe als weiteres Druckmittel gegen die USA wieder aufnähme.
Laute Bedrohungsakteure — echte wie vorgetäuschte Hacktivisten — können von der Anlehnung an Waffenstillstandsabkommen profitieren: Sie erhoffen sich Legitimität und Status, indem sie an einem großen geopolitischen Ereignis teilhaben. Wie viel ihre Zusagen wert sind, schwankt allerdings von Konflikt zu Konflikt. Nach dem Waffenstillstand zwischen Israel und der Hamas Ende November 2023 kündigte etwa Cyber Toufan — ebenfalls eine Operation unter falscher Flagge und Teil der iranischen „Achse des Widerstands" — eine Pause an. Ob die Gruppe ihre Aktivität tatsächlich drosselte, ist unklar: Zwischen November und Dezember 2023 reklamierte sie auf ihrer Leak-Seite mehr als 100 israelische Opfer.
Häufiger noch befeuern Waffenruhen Cyberangriffe. Ein Hamas-naher Akteur nutzte eine Waffenruhe mit Israel 2021 als Vorwand für eine frische Phishing-Kampagne im Nahen Osten. Und als die Ukraine und Russland im vergangenen Jahr eine Waffenruhe im Schwarzen Meer vereinbarten, nutzten beide Seiten die Atempause für größere Cyberangriffe — auch gegen genau jene Energieinfrastruktur, die das Abkommen schützen sollte.
Markus Mueller, Field-CISO bei Nozomi Networks, verweist auf die Zeit nach der Annexion der Krim: Die großen Cyberangriffe in der Ukraine hätten in einer Phase stattgefunden, in der der Krieg zumindest auf russischer Seite nicht aktiv gewesen sei.
Warnick zufolge behandeln Bedrohungsakteure diplomatische Pausen als Formalie und weichen auf sekundäre Ziele oder Verbündete aus, um Druck aufrechtzuerhalten, ohne militärische Vereinbarungen formal zu verletzen. So setzten iran-nahe Gruppen wie das 313 Team und die Conquerors Electronic Army niedrigschwellige Cyberaktivitäten ohne Unterbrechung fort. Das 313 Team reklamierte einen Angriff auf ein australisches Behörden-Authentifizierungsportal, die Conquerors Electronic Army DDoS-Angriffe gegen israelische Ziele sowie die US-Freelancer-Plattform Upwork.
Mueller rechnet mit einer Veränderung der Cyberaktivität in Umfang und Ausmaß: Bislang sei das Geschehen regional begrenzt; künftig erwarte er mehr Aktivität in Nordamerika, Europa und in jedem Land, das als Unterstützer des Konflikts gilt.
Es gibt ein ironisches Gegenbeispiel: Im Vorfeld der Verhandlungen zum iranischen Atomabkommen 2015 beobachteten Analysten, wie der Iran US-kritische Infrastruktur auf Schwachstellen abtastete. Während der Verhandlungsphase fiel die schädliche Cyberaktivität laut der „New York Times" auf null — kein einziges Phishing, keine Infrastruktur-Sondierung. Erst Wochen nach Verhandlungsende setzte sie wieder ein, langsamer, und erreichte das vorherige Niveau erst, als Donald Trump das Abkommen aufkündigte.
