W marcu 2026 r. eskalacja konfliktu w regionie Bliskiego Wschodu, wynikająca ze wspólnej operacji wojskowej USA i Izraela oraz odwetowych działań Iranu, przyczyniła się do wyraźnego wzrostu zagrożeń cyfrowych. Jednostka Unit 42 odnotowała wzmożoną aktywność grup hakerskich spoza regionu. Zidentyfikowane operacje obejmują m.in. ataki phishingowe, DDoS, wykradanie danych oraz działania destrukcyjne w cyberprzestrzeni, wymierzone w instytucje polityczne, obronne i infrastrukturalne w regionie i poza nim. Raport podkreśla potrzebę utrzymania wysokiej czujności oraz wdrożenia strategii wielowarstwowej w zakresie cyberbezpieczeństwa .

Od rana 28 lutego 2026 r. dostępność internetu w Iranie spadła do 1–4%. Utrata łączności oraz poważne zakłócenia w strukturach dowodzenia państwem ograniczają zdolność państwowych hakerów do koordynowania i prowadzenia zaawansowanych operacji .

Podmioty powiązane z państwem funkcjonują obecnie w warunkach częściowej izolacji, co sprzyja odejściu od standardowych schematów operacyjnych i zwiększa autonomię komórek operujących poza granicami Iranu. Jednostki działające spoza regionu koncentrują swoje działania na organizacjach uznawanych za przeciwników Iranu, jednak wpływ tych incydentów najczęściej oceniany jest jako niski bądź średni.

Operatorzy działający w rozproszonej strukturze geograficznej oraz powiązani z nimi cyberprzestępcy mogą atakować rządy w regionach, w których znajdują się bazy wojskowe USA, zakłócając logistykę – głównie za pomocą ataków typu DDoS oraz kampanii „hack and leak”.

Szczegółowe informacje na temat wcześniejszych obserwacji działań grup wspieranych przez Iran oraz hakerów zawiera raport Threat Brief: Escalation of Cyber Risk Related to Iran (aktualizacja: 30 czerwca) . Raport opisuje, jak grupy wspierane przez Iran i hakerzy rozszerzają swoje globalne działania cyfrowe, wykorzystując m.in. nieautoryzowane zmiany treści na stronach internetowych, ataki typu DDoS, wykradanie danych oraz ataki typu wiper. Główne cele państwowych aktorów powiązanych z Iranem obejmują przede wszystkim operacje szpiegowskie i zakłócanie działań przeciwników. Wśród stosowanych technik znajdują się m.in. kampanie spear-phishingowe wspomagane sztuczną inteligencją, wykorzystanie znanych luk w systemach oraz korzystanie z ukrytych infrastruktur do działań szpiegowskich.

 

„Obserwujemy systematyczny wzrost aktywności grup hakerskich. Jednocześnie zakłócenia w dostępie do internetu w Iranie mogą ograniczać zdolność podmiotów powiązanych z państwem do prowadzenia bardziej zaawansowanych operacji, ze względu na poważne problemy infrastrukturalne. Nie oznacza to jednak spadku zagrożenia. Organizacje powinny zachować szczególną czujność, ponieważ spodziewamy się, że podmioty te będą nadal wykorzystywać pojawiające się okazje do ataków na cele uznawane za przeciwników państwa” — mówi Sam Rubin, Senior Vice President Unit 42 w Palo Alto Networks.

 

Cyberataki w regionie: aktualny obraz sytuacji

Gdy konflikt w regionie narasta, cyberprzestrzeń staje się polem kolejnych starć. Unit 42 zidentyfikowała kampanię phishingową podszywającą się pod aplikację RedAlert. Złośliwy pakiet Android umożliwia hakerom szpiegowanie użytkowników i wykradanie poufnych danych – zagrożenie, które realnie uderza w bezpieczeństwo instytucji i obywateli.

Obserwacje wskazują również na wyraźny wzrost aktywności hakerskich środowisk – według szacunków na dzień 2 marca 2026 r. aktywnych było około 60 odrębnych grup, w tym także podmioty prorosyjskie. Wiele kolektywów powiązanych z państwem irańskim przyznało się do szeregu operacji zakłócających, z których część związana jest z utworzoną 28 lutego 2026 r. „Electronic Operations Room”.

Do kluczowych obserwowanych podmiotów należy m.in. Handala Hack, haker powiązany z irańskim Ministerstwem Wywiadu i Bezpieczeństwa (MOIS), znany z ataków wymierzonych w izraelskie instytucje polityczne i obronne. Przyznał się do włamań do izraelskich firm zajmujących się energią, systemów paliwowych Jordanii, a także prób wywarcia presji na izraelskie placówki opieki zdrowotnej tuż przed wybuchem działań zbrojnych . Podobnie APT Iran, proirańska grupa hakerów, ujawniła swój udział w sabotażu krytycznej infrastruktury Jordanii .

Inne organizacje, takie jak Cyber Islamic Resistance, koordynują działania wielu grup hakerów, przeprowadzając zsynchronizowane ataki DDoS, operacje wymazywania danych i niszczenie stron internetowych izraelskiej oraz zachodniej infrastruktury, w tym systemów obrony dronów i infrastruktury płatniczej . Dark Storm Team, znany też jako MRHELL112, specjalizuje się w masowych atakach DDoS i ransomware, atakując m.in. izraelskie strony banków .

Zespół FAD (Fatimiyoun Cyber Team) koncentruje się na tworzeniu złośliwego oprogramowania typu wiper i trwałym niszczeniu danych, przy czym przyznał się do uzyskania nieautoryzowanego dostępu do systemów SCADA/PLC w Izraelu i innych krajach oraz ataków na tureckie media . Grupa Evil Markhors wyspecjalizowała się w wykradaniu danych uwierzytelniających i wykrywaniu luk w systemach krytycznych, natomiast Sylhet Gang-SG działa jako narzędzie propagandy i rekrutacji dla proirańskiego frontu hakerskiego, angażując się również w operacje DDoS wymierzone m.in. w saudyjskie Ministerstwo Spraw Wewnętrznych.

Aktywność hakerskich komórek proirańskich nie ogranicza się tylko do Iranu i Izraela. 313 Team, znany jako Islamic Cyber Resistance in Iraq, przyznał się do ataków na strony rządowe i wojskowe Kuwejtu . Z kolei grupa DieNet przeprowadzała ataki DDoS na lotniska w Bahrajnie i Zjednoczonych Emiratach Arabskich oraz na instytucje finansowe, w tym Riyadh Bank i Bank Jordanii .

Niektóre ataki hakerskie obejmują bezpośrednie groźby skierowane do konkretnych osób. Handala Hack rzekomo wysłał e-maile z groźbami śmierci do irańsko-amerykańskiego i irańsko-kanadyjskiego influencera, ujawniając do sfery publicznej ich adresy zamieszkania .

 

Wzmożona aktywność innych grup hakerskich

W cieniu narastającego konfliktu cyberprzestępcy w Zjednoczonych Emiratach Arabskich wykorzystują napiętą sytuację do wyłudzania danych. Podszywając się pod Ministerstwo Spraw Wewnętrznych, dzwonią do obywateli, twierdząc, że potwierdzają otrzymanie krajowego alertu, i żądają podania numeru identyfikacyjnego Emiratów (EID) . Równolegle grupa Tarnished Scorpius, znana również jako INC Ransomware i specjalizująca się w tworzeniu oraz dystrybucji złośliwego oprogramowania, opublikowała na swojej stronie dane izraelskiej firmy przemysłowej, zastępując jej logo symbolem swastyki.

Niepokojące są także działania prorosyjskich grup hakerskich. Kolektyw Cardinal, powiązany z państwem, lecz działający najprawdopodobniej niezależnie, deklaruje, że celuje w systemy Sił Obronnych Izraela (IDF) . W swoich komunikatach grupa twierdzi, że przeniknęła do sieci IDF, publikując rzekomo poufny dokument opisujący szczegóły operacji „Magen Tsafoni” (Północna Tarcza), w tym ruchy operacyjne i dane kontaktowe. Z kolei grupa NoName057(16) przyznała się do ataków na izraelskie instytucje miejskie, polityczne, telekomunikacyjne i obronne, dążąc do zakłócenia ich funkcjonowania . Najbardziej znaczące są jednak działania grupy Russian Legion, która poinformowała, że uzyskała dostęp do systemu obrony przeciwrakietowej Iron Dome, kontrolując radary, monitorując cele w czasie rzeczywistym i paraliżując działanie systemu, a także przejmując rzekomo zamknięte serwery IDF .

Równolegle Unit 42 odnotowuje nasilającą się aktywność państwowych grup irańskich, funkcjonujących pod szyldem Serpens. Ich cyfrowe zdolności wykorzystywane są zarówno do działań destabilizujących, jak i do szerzenia politycznego przekazu. Operacje te skupiają się przede wszystkim na celach regionalnych, takich jak Izrael, a także na strategicznych podmiotach – politykach, kluczowych decydentach i powiązanych instytucjach. Państwowe kampanie mogą uderzać w łańcuchy dostaw, infrastrukturę krytyczną, a także w dostawców i usługodawców, tworząc w ten sposób dodatkowe pole zagrożeń dla całego regionu.

 

Gotowość i czujność – podstawa bezpieczeństwa cyfrowego

Biorąc pod uwagę dynamiczny charakter zagrożeń, najskuteczniejszą ochronę zapewnia strategia wielowarstwowa – żadne pojedyncze narzędzie nie gwarantuje pełnego bezpieczeństwa. Kluczowe pozostaje systematyczne przestrzeganie zasad higieny cyberbezpieczeństwa, weryfikacja przychodzących komunikatów, monitorowanie zasobów widocznych w Internecie oraz regularne aktualizacje systemów. Równocześnie organizacje powinny dysponować przygotowanymi planami reagowania na incydenty, obejmującymi procedury komunikacji zarówno wewnętrznej, jak i zewnętrznej, aby skutecznie ograniczać skutki ewentualnych ataków. Ze względu na oportunistyczny charakter działań hakerów i grup powiązanych z państwem, utrzymanie wysokiego poziomu czujności i gotowości operacyjnej pozostaje kluczowe w nadchodzących tygodniach.