Radware ordnet die hacktivistische Bedrohung im Nahen Osten als stark ungleich verteilt ein. Zwischen dem 28. Februar und dem 2. März sollen zwei Gruppen – Keymous+ und DieNet – fast 70 Prozent aller Angriffsaktivität getragen haben. Den ersten DDoS-Angriff führte laut Bericht Hider Nex (auch Tunisian Maskers Cyber Force) am 28. Februar 2026 aus.
Nach Angaben von Orange Cyberdefense handelt es sich bei Hider Nex um eine im Verborgenen agierende tunesische hacktivistische Gruppe, die pro-palästinensische Anliegen unterstützt. Sie kombiniert DDoS-Angriffe mit Datenlecks, um sensible Daten zu veröffentlichen und ihre geopolitische Agenda voranzutreiben. Die Gruppe trat Mitte 2025 in Erscheinung.
Insgesamt wurden 149 hacktivistische DDoS-Forderungen gegen 110 verschiedene Organisationen in 16 Ländern verzeichnet. Die Angriffe gingen auf zwölf Gruppen zurück; Keymous+, DieNet und NoName057(16) entfielen zusammen 74,6 Prozent der gesamten Aktivität. Mit großem Abstand konzentrierten sich die Angriffe – 107 von ihnen – auf den Nahen Osten und trafen dort überproportional öffentliche Infrastruktur und staatliche Ziele. Auf Europa entfielen 22,8 Prozent der weltweiten Aktivität.
Der Regierungssektor war mit 47,8 Prozent der weltweit angegriffenen Organisationen am stärksten betroffen, gefolgt vom Finanzsektor (11,9 Prozent) und der Telekommunikation (6,7 Prozent). Innerhalb der Region konzentrierten sich die Angriffe auf drei Staaten: Kuwait (28 Prozent), Israel (27,1 Prozent) und Jordanien (21,5 Prozent der Angriffsforderungen).
Neben Keymous+, DieNet und NoName057(16) beteiligten sich laut Daten von Flashpoint, Palo Alto Networks Unit 42 und Radware weitere Gruppen an den Aktionen, darunter Nation of Saviors (NOS), die Conquerors Electronic Army (CEA), Sylhet Gang, 313 Team, Handala Hack, APT Iran, die Cyber Islamic Resistance, Dark Storm Team, das FAD Team, Evil Markhors und PalachPro.
Cynthia Kaiser, SVP des Ransomware-Forschungszentrums bei Halcyon und frühere stellvertretende Direktorin der Cyber-Abteilung des FBI, erklärte auf LinkedIn, Iran habe eine Vorgeschichte darin, Cyberoperationen zur Vergeltung für „vermeintliche politische Brüskierungen" einzusetzen – zunehmend auch mit Ransomware. Teheran habe private Cyberoperationen gegen Ziele in den USA, Israel und verbündeten Staaten lange geduldet, weil der Zugriff auf Cyberkriminelle der Regierung Handlungsoptionen verschaffe. Bei der Abwägung einer Reaktion sei es wahrscheinlich, dass diese Akteure aktiviert würden, sofern ihre Operationen spürbare Vergeltungswirkung versprächen.
SentinelOne geht mit hoher Sicherheit davon aus, dass Organisationen in Israel, den USA und verbündeten Staaten direkt oder indirekt ins Visier geraten – insbesondere in den Bereichen Regierung, kritische Infrastruktur, Verteidigung, Finanzdienstleistungen, Bildung und Medien. Nozomi Networks verwies darauf, dass iranische Bedrohungsakteure historisch Spionage, Störung und psychologische Operationen vermischt hätten und solche Aktivitäten in instabilen Phasen oft intensiviert würden.
Zur Abwehr empfehlen die Fachleute kontinuierliche Überwachung, aktualisierte Bedrohungssignaturen, eine reduzierte externe Angriffsfläche, umfassende Prüfungen verbundener Systeme sowie die korrekte Trennung von IT- und OT-Netzen und die Isolation von IoT-Geräten. Adam Meyers von CrowdStrike erklärte, iranische Akteure hätten ihre Methoden weiterentwickelt und seien über klassische Einbrüche hinaus in cloud- und identitätsbezogene Operationen vorgedrungen.
