Augur Security beschreibt die typische mehrstufige Infrastruktur iranischer Akteure, die den Ursprung der Angriffe verschleiern soll. Den Ausgangspunkt bildet Sefroyek Pardaz Engineering, ein in Teheran ansässiger iranischer Internet- und Hosting-Anbieter. Auf der zweiten Stufe kommen sogenannte Bulletproof-Hosting-Provider hinzu, etwa das moldauische ALEXHOST und die in Wyoming registrierte Briefkastenfirma RouterHosting LLC, die historisch mit Infrastruktur iranischer Bedrohungsakteure in Verbindung gebracht wird.

Eine dritte Stufe umfasst weitere Briefkastenfirmen. Cloudblast etwa ist in den USA registriert, operiert aber aus Dubai und leitet über einen vorgeschalteten Anbieter in den Niederlanden weiter, wodurch Ermittlungen durch eine zusätzliche Rechtsraum-Ebene erschwert werden. Ein zweites Beispiel ist UltaHost mit doppelter Registrierung als UltaHost Inc in den USA und ULTAHOST Ltd im Vereinigten Königreich. Gegen UltaHost Inc verhängte ICANN am 5. Februar 2025 eine formelle Mitteilung über einen “Verstoß gegen die Akkreditierungsvereinbarung für Registrare” – ein üblicherweise als Warnsignal gewertetes Vorgehen.

“Bevor Angriffe ein Zielnetzwerk erreichen, benötigen sie Infrastruktur”, sagt Joe Lea, CEO von Augur Security. “Diese Infrastruktur zu kartieren und zu stören, ist eines der wirksamsten Mittel, mit denen Verteidiger Operationen stoppen können, bevor sie beginnen.”

Der Bericht verzeichnet einen Anstieg der Infrastruktur-Aktivität großer iranischer APT-Gruppen in den sechs Monaten vor den US/israelischen Schlägen vom 28. Februar 2026. Bei MuddyWater etwa wurden Mitte September 2025 binnen 72 Stunden sieben CIDR-Bereiche markiert: fünf stehen in Verbindung mit einem estnischen ASN-Anbieter mit Länderkennungen für Russland, das Vereinigte Königreich und Estland, die übrigen zwei laufen über Clouvider, einen “im Vereinigten Königreich ansässigen Hosting-Anbieter mit dokumentierter Missbrauchsgeschichte durch mehrere Bedrohungsgruppen”. Augur wertet dies mit “mittlerer Zuversicht” als pre-operationales Bereitstellen von Infrastruktur im Vorfeld der Operationen.

Die Gruppe Handala, verantwortlich für den Angriff auf den US-amerikanischen Medizintechnik-Konzern Stryker, zählt zu den jüngeren MOIS-nahen Gruppen und trat erst 2023 in Erscheinung. In Augurs Analyse zeigt sie keine spezifische Infrastruktur-Aktivität, führte in der Vergangenheit jedoch Datendiebstahl- und Wiper-Operationen vorrangig gegen Israel durch und ist Teil der koordinierten iranischen Cyber-Antwort auf die Schläge vom 28. Februar. Zu den weiteren genannten APT-Gruppen gehören OilRig/APT34 (MOIS), APT35/Charming Kitten (IRGC-IO), APT33/Peach Sandstorm (IRGC), Cotton Sandstorm/Emennet Pasargad (IRGC) und CyberAv3ngers (IRGC-CEC).

Nach dem 28. Februar weitete sich die Hacktivisten-Aktivität rasch und koordiniert aus. Laut Bericht wurde binnen 24 Stunden nach den Schlägen ein “Electronic Operations Room” eingerichtet, der schätzungsweise 60 oder mehr Gruppen zentral koordiniert – ein Muster, das schon der Eskalation des Gaza-Konflikts im Oktober 2023 folgte. Zu diesen Gruppen zählen Cyber Fattah, Fatimiyoun Cyber Team und Handala. Im Fokus stehen israelische sowie US-amerikanische Regierungs-, Finanz- und Infrastruktur-Organisationen, nachrangig auch Golfstaaten, die als Unterstützer der US/Israel-Schläge gelten.

Augur betont, dass die IRGC zwar eng mit der iranischen Regierung zusammenarbeitet, ihr primärer Zweck aber der Schutz der “islamischen Revolution” und nicht des Staates Iran ist – mit eigener Privatarmee und separaten Cyber-Einheiten und einer ausgedehnten Präsenz über den Iran hinaus. So beschädigten die Schläge zwar die interne Internetanbindung Irans, beeinträchtigten die Fähigkeit der APT-Gruppen zur Fortsetzung und Ausweitung ihrer Operationen jedoch nicht ernsthaft.