mobile-menu-icon
Hot & Attacker

Irans cyberproxies inleder omfattande vedergällning mot västerländska nätverk

Blog Reading Time 5 Lästid / mars 10, 2026

Irans offensiva cyberkapacitet har växlat upp efter gemensamma amerikansk-israeliska militära angrepp i slutet av februari 2026. Flera iranska statligt länkade grupper och hacktivist-proxies genomför nu koordinerade cyberangrepp mot västerländska mål, inklusive kritisk infrastruktur, myndighetsnätverk och privata företag i USA och Europa.

Enligt Palo Alto Networks Unit 42 har Iran-stödda grupper utökat sina globala cyberoperationer med distribuerade överbelastningsangrepp, webbplatsförvanskning och destruktiva malware-kampanjer som kombinerar dataexfiltrering med permanent systemförstöring. Tidpunkten tyder på koordinerad vedergällning snarare än opportunistisk kriminell verksamhet.

Internetavbrott hämmar statliga operationer, proxies fyller luckan

Irans inhemska internetanslutning kollapsade till mellan 1 och 4 procent efter angreppen den 28 februari, vilket kraftigt begränsade operativ kapacitet för statsstödda APT-grupper baserade i landet. Detta har dock inte minskat den övergripande hotnivån. Istället har iranska tjänstemän aktiverat ett omfattande nätverk av proxygrupper och utomlands baserade operatörer för att genomföra cyberangrepp som vedergällning.

Unit 42-forskare har observerat bildandet av ett ”Electronic Operations Room” etablerat den 28 februari, som koordinerar minst 60 individuella hacktivist-grupper, inklusive pro-ryska enheter som har anpassat sig till iranska mål. Viktiga iranska aktörer inkluderar Handala Hack, kopplad till Irans underrättelse- och säkerhetstjänst, som har tagit ansvar för att ha komprometterat ett israeliskt energiprospekteringsföretag och Jordaniens bränslesystem.

Den operativa tystnaden från vissa etablerade iranska hacktivist-grupper sedan januari 2026 tyder på att de kan vara engagerade i aktiva kampanjer snarare än vilande, enligt threat intelligence-företaget Halcyon. Detta mönster indikerar historiskt pågående operationer snarare än minskad aktivitet.

Destruktiva kampanjer riktas mot amerikansk kritisk infrastruktur

Iranska cyberaktörer använder alltmer destruktiva taktiker som suddar ut gränsen mellan kriminell utpressning och statssponsrat sabotage. Halcyon har identifierat den iranska APT-gruppen Muddy Water som genomför ”Operation Olalampo”, en strukturerad cyberoffensiv som riktar sig mot Mellanöstern, Turkiet och Afrika med taktiker som överlappar med andra Iran-anpassade kampanjer.

En ny ransomware-variant kallad Sicarii har dykt upp med en kritisk brist som gör dataåterställning omöjlig även för dess operatörer — skadeprogrammet raderar sina egna krypteringsnycklar efter att ha krypterat filer. Till skillnad från konventionella ransomware-as-a-service-operationer som siktar på vinst, verkar Sicarii designad för permanent dataförstöring förklädd som utpressningsförsök.

CISA har varnat att iranska statshackers rutinmässigt riktar sig mot dåligt säkrade amerikanska nätverk och internetanslutna OT-system. Myndigheten noterar att nylig iransk statssponsrad aktivitet inkluderar skadliga cyberoperationer mot OT-system av APT-aktörer kopplade till Islamiska revolutionsgardet.

Kameranätverk komprometterade för skadebedömning

Check Point-forskare har dokumenterat en ökning av exploateringsförsök mot IP-kameror från Dahua och Hikvision över Israel och Gulfländer inklusive UAE, Qatar, Bahrain och Kuwait. Angreppen utnyttjar flera sårbarheter inklusive CVE-2021-36260, CVE-2025-34067 och CVE-2021-33044.

Dessa kamerakompromisser tjänar ett dubbelt syfte bortom traditionellt spionage. Check Point bedömer att Iran utnyttjar kameranätverk för operativt stöd och skadebedömning för missiloperationer, vilket potentiellt fungerar som tidiga indikatorer på uppföljande kinetisk aktivitet. ”Att spåra kamera-riktad aktivitet från specifika, tillskrivna infrastrukturer kan fungera som en tidig indikator på potentiell uppföljande kinetisk aktivitet”, varnade företaget.

Svensk tillverkning möter förhöjd risk

Sveriges tillverkningssektor har framträtt som ett primärt mål och representerar 36,36 procent av ransomware-angrepp i Norden under 2024 enligt SOCRadars underrättelserapport. Svenska företag möter nu en perfekt storm av geopolitisk målsättning på grund av landets NATO-medlemskap och avancerade industriella bas.

Målsättningen sträcker sig bortom opportunistiska attacker. Svenska försvarsleverantörer och företag med israeliska partnerskap möter förhöjd risk, enligt CISAs senaste säkerhetsrådgivningar. Defence Industrial Base-företag med innehav eller relationer som involverar israelisk forskning och försvarsföretag löper särskild risk för iranska cyberoperationer.

Större svenska incidenter under de senaste månaderna inkluderar Tietoevry-angreppet som störde 120 myndigheter och Vestas Wind Systems-intrånget som exponerade anställdas data på dark web-marknader. Mönstret tyder på systematisk målsättning snarare än slumpmässigt urval.

Rekommendationer för nordiska företag

CrowdStrikes chef för Counter Adversary Operations Adam Meyers varnar att västerländska organisationer bör ”förbli i hög beredskap för potentiell cyberrespons när konflikten fortsätter och aktivitet kan röra sig bortom hacktivism och in i destruktiva operationer”. Rekommendationen är inte teoretisk — iranska grupper har redan demonstrerat vilja att använda destruktiv malware mot uppfattade motståndare.

Kritiska steg inkluderar att begränsa internetexponering av operativ teknik-system, implementera phishing-resistent multifaktorautentisering, genomdriva nätverkssegmentering och säkerställa att offline-säkerhetskopior förblir tillgängliga. Företag bör också validera och förbereda sig för att svara på påståenden om dataintrång, eftersom hotaktörer allt oftare använder falska påståenden för att generera medieuppmärksamhet och främja politiska narrativ.

FBI rekommenderar att granska dess faktablad från juni 2025 om iranska cyberhot, och noterar att dessa aktörer typiskt exploaterar opatchade sårbarheter, standardlösenord och internetanslutna industriella kontrollsystem. Vägledningen får ny brådska givet den nuvarande operativa takten hos iranska cyberproxies.

Referenser

  1. Unit 42 Threat Brief: March 2026 Escalation of Cyber Risk Related to Iran — https://unit42.paloaltonetworks.com/iranian-cyberattacks-2026/
  2. Halcyon: Iranian Use of Cybercriminal Tactics in Destructive Cyber Attacks — https://www.halcyon.ai/ransomware-alerts/iranian-use-of-cybercriminal-tactics-in-destructive-cyber-attacks-2026-updates
  3. Canadian Centre for Cyber Security: Iranian Cyber Threat Response to US/Israel strikes — https://www.cyber.gc.ca/en/guidance/cyber-threat-bulletin-iranian-cyber-threat-response-usisrael-strikes-february-2026
  4. CISA Iran Threat Overview and Advisories — https://www.cisa.gov/topics/cyber-threats-and-advisories/advanced-persistent-threats/iran
  5. The Hacker News: Iran-Linked MuddyWater Hackers Target U.S. Networks — https://thehackernews.com/2026/03/iran-linked-muddywater-hackers-target.html
  6. FBI Reminder on Iranian Cyber Actor Activity — https://www.aha.org/news/headline/2026-03-03-fbi-reminds-potentially-malicious-activity-iranian-cyber-actors
  7. SOCRadar Nordic Threat Landscape Report 2024 — https://socradar.io/nordic-threat-landscape-report-2024-ransomware-phishing-and-dark-web-insights/

This post is also available in: English

Related News

Russian Military Intelligence Hijacks Routers in Massive DNS Poisoning Campaign

Rysk militär underrättelsetjänst kapade routrar i omfattande DNS-kampanj

Cyber News Calendar icon april 8, 2026

SmartLoader-gänget bygger falskt GitHub-ekosystem för att sprida StealC via trojaniserad Oura MCP

En känd cyberbrottsoperation har under månader byggt upp ett omfattande falskt GitHub-ekosystem för att förgifta AI-utvecklingens supply chain. SmartLoader-gänget, först identifierat 2024, klonade en legitim…

Cyber News Calendar icon februari 17, 2026

Ta nästa steg - säkra er verksamhet

Säkerställ att ert företag är skyddat mot cyberhot. Kontakta oss så berättar vi mer.

Kontakta oss