Die Analyse von Augur Security enthüllt ein beeindruckendes Netzwerk aus Verschleierungstaktiken und internationalen Strukturen. Im Kern sitzt das iranische ISP und Hosting-Unternehmen Sefroyek Pardaz Engineering in Teheran. Von dort verzweigt sich ein mehrstufiges System: Bulletproof-Hoster wie das moldawische ALEXHOST und die in Wyoming registrierte Firma RouterHosting LLC bilden eine zweite Ebene. Dann folgen weitere Firmenhülsen wie Cloudblast, das in den USA registriert ist, aber aus Dubai operiert und über niederländische Provider läuft – eine klassische Taktik zur Verschleierung von Verantwortlichkeiten über Ländergrenzen hinweg.
Ein weiteres Beispiel ist UltaHost mit Niederlassungen in den USA und Großbritannien. Besonders aufschlussreich: Am 5. Februar 2025 vergab die ICANN gegen UltaHost Inc eine formale Verwarnung wegen Verstoßes gegen Akkreditierungsvereinbarungen – üblicherweise ein Warnsignal für fragwürdige Aktivitäten.
Die großen iranischen Hackergruppen zeigten im halben Jahr vor den Luftschlägen deutliche Aktivitätsspitzen. MuddyWater etwa aktivierte im September 2025 innerhalb von 72 Stunden sieben Datenblöcke (CIDRs), verteilt über Estland, Russland und Großbritannien. Augur geht mit mittlerer Sicherheit davon aus, dass dieser Aufbau der Vorbereitung auf Operationen nach den Schlägen diente.
Andere eingebundene Gruppen sind OilRig/APT34, APT35 (Charming Kitten), APT33 (Peach Sandstorm), Cotton Sandstorm und CyberAv3ngers. Besonders Handala fällt auf – eine junge Einheit, gegründet 2023, die 2024 den medizinischen Ausrüstungshersteller Stryker angegriffen hat. Sie konzentriert sich auf Datenentwurf und Wiper-Operationen gegen Israel.
Das Wichtigste: Innerhalb von 24 Stunden nach den Luftschlägen etablierte der Iran ein “Elektronisches Operationszentrum” zur zentralisierten Koordination von etwa 60 Hacktivistengruppen. Dies spiegelt eine Taktik wider, die bereits nach der Eskalation in Gaza im Oktober 2023 eingesetzt wurde. Das Ziel sind israelische und amerikanische Regierungsinstitutionen, Finanzsektor und kritische Infrastruktur – mit Fokus auch auf Golf-Staaten, die die Luftschläge unterstützten.
Der entscheidende Punkt für die globale Sicherheit: Während die militärischen Angriffe Irans innere Internetinfrastruktur beschädigten, hatten sie kaum Auswirkungen auf die Fähigkeit iranischer APTs, ihre Operationen fortzusetzen. Die dezentral organisierte, international verteilte Cyberinfrastruktur erwies sich als deutlich widerstandsfähiger als traditionelle Ziele.