Die zeitliche Abfolge stützt die Bewertung von Check Point Research: Bereits Mitte Januar wurden Kameras in Israel und Katar ins Visier genommen – offenbar in Erwartung eines US-Angriffs –, nach den Schlägen richteten sich die Angriffe gegen bestimmte Gebiete im Libanon. Daraus schließen die Forscher, dass der Iran kompromittierte Kameras für operative Unterstützung und zur Bewertung von Raketenschäden einsetzt.

Die Akteure zielen nach der Untersuchung auf die verbreiteten Kameras von Hikvision und Dahua und nutzen mehrere Schwachstellen rund um Authentifizierung und Befehlsausführung. Bei Hikvision kommen demnach CVE-2017-7921, CVE-2021-36260 und CVE-2023-6895 zum Einsatz, bei Dahua CVE-2025-34067 und CVE-2021-33044. Patches für alle genannten Lücken stehen bereit.

Ähnliche Muster beobachtete Check Point bereits während des zwölftägigen Kriegs zwischen Israel und dem Iran im Juni 2025 – vermutlich zur Schadensbewertung oder zur Zielkorrektur. Als bekanntestes Beispiel gilt der Beschuss des israelischen Weizmann Institute of Science mit einer ballistischen Rakete: Berichten zufolge übernahm der Iran kurz zuvor die Kontrolle über eine auf das Gebäude gerichtete Straßenkamera. Für Sergey Shykevich, Manager der Threat-Intelligence-Gruppe bei Check Point Research, ist der Einsatz von Kameraangriffen zur Vorbereitung von Raketenschlägen “Teil der iranischen Kriegsdoktrin”.

Die Kameraangriffe sind nicht die einzige Cyberaktivität im Rahmen der iranischen Vergeltung. Flashpoint verweist gegenüber Dark Reading auf anhaltende Angriffe auf industrielle Steuerungssysteme (ICS) in Israel und weiteren Ländern, auf Sabotage in der Logistik – pro-iranische Akteure sollen die Jordan Silos and Supply General Company über Phishing kompromittiert haben – sowie auf DDoS-Angriffe gegen Behörden etwa in den Emiraten und in Bahrain. Hinzu kommen laufende Propagandakampagnen und Raketenangriffe auf Rechenzentren.

Adam Meyers, Senior Vice President für Counter-Adversary Operations bei CrowdStrike, beobachtet hingegen nur gedämpfte, in ihrem Umfang begrenzte Vergeltungsangriffe mit Bezug zu den Revolutionsgarden (IRGC). Stattdessen registriert das Unternehmen einen Anstieg pro-iranischen russischen Hacktivismus, der sich gegen ICS, SCADA-Systeme und Videoüberwachungsnetze von Einrichtungen in den USA richtet. Die zeitliche Nähe dieser unbestätigten Behauptungen zur Operation Epic Fury deute darauf hin, dass Irans Verbündete US-Ziele priorisiert hätten; westliche Organisationen sollten weiter wachsam bleiben, da die Aktivität über Hacktivismus hinaus in zerstörerische Operationen übergehen könne.

Der Einsatz von Cyberangriffen in militärischen Konflikten ist nicht neu – Shykevich verweist auf Russlands Angriffe auf Industrieinfrastruktur im Krieg gegen die Ukraine –, doch sei der direkte Pfad vom Cyber- zum physischen Angriff “nicht sehr verbreitet oder zumindest selten öffentlich dokumentiert”. Alexander Leslie, Senior Advisor bei Recorded Future, bezeichnet Cyber als eine der am besten skalierbaren militärischen Optionen des Iran, gerade weil konventionelle Operationen eingeschränkt seien. Es handle sich nicht um einen klassischen linearen Konflikt, sondern um eine integrierte Kampagne, in der militärische Schläge, Cybereffekte, psychologische Operationen und wirtschaftlicher Druck aufeinander abgestimmt würden.

Für Kathryn Raines, Team-Leiterin für Cyber Threat Intelligence bei Flashpoint, ist das Geschehen im Nahen Osten keine Anomalie, sondern “die neue Blaupause für moderne Kriegsführung”. Cyberoperationen böten eine kostengünstige, wirkungsstarke Möglichkeit, das physische Schlachtfeld zu formen, bei zugleich sehr niedriger Einstiegshürde für Hacktivisten und Stellvertreter.