Il 28 febbraio 2026, Stati Uniti e Israele hanno lanciato una significativa offensiva congiunta, denominata in codice “Operation Epic Fury” (Stati Uniti) e “Operation Roaring Lion” (Israele). Nelle ore successive agli attacchi iniziali, l’Iran ha avviato una campagna di rappresaglia multi-vettore, che si è evoluta in un significativo conflitto trans-regionale. Unit 42 ha osservato un’escalation di attacchi da parte di attivisti esterni al paese ed un aumento del rischio informatico. Tuttavia, i ricercatori ritengono che l’attività di minaccia da parte di gruppi statali con sede all’interno dello stato sia mitigata nel breve termine a causa della limitata connettività Internet in Iran che, dalla mattina del 28 febbraio 2026, è scesa tra l’1% e il 4%. La perdita di connettività e il significativo degrado delle strutture di leadership e comando iraniane ostacoleranno probabilmente la capacità degli attori di minaccia allineati allo stato di coordinare ed eseguire attacchi sofisticati nel breve periodo.
Le unità cyber allineate allo stato potrebbero agire in isolamento operativo, comportando potenziali deviazioni dai modelli stabiliti in precedenza. Inoltre, il degrado del comando e controllo iraniano potrebbe anche portare a un’autonomia tattica per le cellule al di fuori dell’Iran. Tuttavia, la capacità di sostenere operazioni informatiche sofisticate sarà probabilmente ridotta a causa di interruzioni operative.
Per gli attori di minaccia allineati all’Iran con sede al di fuori della regione, Unit 42 stima che i gruppi hacktivisti prenderanno di mira organizzazioni percepite come avversari, ma il loro impatto sarà probabilmente di bassa o media entità. Altri attori allineati a stati nazionali potrebbero tentare di sfruttare la situazione per lanciare attacchi a proprio vantaggio.
Operatori geograficamente distribuiti e proxy cyber affiliati potrebbero anche prendere di mira i governi nelle regioni che ospitano basi militari statunitensi per causare difficoltà logistiche. Nel breve termine, queste attività dovrebbero consistere in interruzioni di sofisticazione medio-bassa (ad esempio, Distributed Denial of Service e campagne di hack-and-leak).
“Unit 42 sta osservando un’impennata di attività da parte di un numero crescente di gruppi hacktivisti. Tuttavia, prevediamo che l’interruzione di Internet in Iran mitigherà gli attacchi più sofisticati da parte di gruppi allineati allo stato, finché le infrastrutture saranno in uno stato di degrado. Le aziende devono rimanere estremamente vigili, poiché si prevede che gli attori allineati allo stato continueranno a prendere di mira in modo opportunistico avversari percepiti come tali,” sottolinea Sam Rubin, SVP, Unit 42 di Palo Alto Networks.
