Iran đã chứng kiến sự gia tăng đáng kể các hoạt động của các nhóm hacker do nhà nước hậu thuẫn sau loạt vụ tấn công của Mỹ và Israel vào các cơ sở quân sự và hạt nhân của nước này hồi tháng 6 năm 2025. Không gian mạng đã trở thành một mặt trận sôi động với những chiến dịch gián điệp, phá hoại và tuyên truyền ngày càng tinh vi.
Các nhóm tin tặc Iran, trong đó có những nhóm liên kết với Lực lượng Vệ binh Cách mạng Hồi giáo (IRGC) và Bộ Tình báo Iran (MOIS), đã chuyển đổi chiến thuật từ các hoạt động giám sát truyền thống sang các cuộc tấn công mạng mang tính chiến thuật. Đáng chú ý là các chiến dịch DDoS nhắm vào ngân hàng, công ty quốc phòng và hàng không vũ trụ, cũng như các nỗ lực quét lỗ hổng hệ thống công nghiệp (ICS), đánh cắp thông tin và lan truyền tuyên truyền ẩn danh trên dark web.
Một cảnh báo chung từ FBI và CISA gần đây nhấn mạnh sự gia tăng các rủi ro đối với hệ thống công nghệ vận hành (OT), đặc biệt là các lỗ hổng trong bộ điều khiển công nghiệp. Đây là dấu hiệu cho thấy các cuộc tấn công phá hoại có thể đang được lên kế hoạch.
Hai nhóm APT chính của Iran, APT35 (còn gọi là Charming Kitten) và APT33 (Elfin), đang điều chỉnh chiến thuật để thích ứng với bối cảnh căng thẳng hiện nay. APT35 đã tận dụng trí tuệ nhân tạo để tạo ra các chiến dịch lừa đảo vô cùng tinh vi, nhắm vào chuyên gia an ninh mạng và học giả quốc tế bằng các email giả mạo được soạn thảo cực kỳ thuyết phục.
APT33 vẫn tập trung vào các mục tiêu truyền thống như ngành năng lượng và quốc phòng, với kho công cụ độc hại có khả năng phá hoại thiết bị công nghiệp như PLC, đặc biệt là các thiết bị do Israel sản xuất. Nhóm này sử dụng phần mềm xóa dữ liệu, kiểm soát từ xa và tấn công vào các điểm yếu trong chuỗi cung ứng để gây tổn hại dài hạn.
Ngoài các nhóm APT chính, các nhóm bán độc lập như CyberAv3ngers và Mr. Hamza cũng đang thực hiện nhiều cuộc tấn công DDoS vào website thành phố và tài chính phương Tây. Dù kỹ thuật còn thô sơ, các chiến dịch này giúp Iran giữ thế chủ động, vừa phủ nhận trách nhiệm vừa gây sức ép dư luận.
Chiến lược mạng của Iran đang chuyển dần từ gián điệp sang phá hoại, với các mục tiêu rõ ràng: hệ thống điều khiển giao thông, nhà máy điện, chuỗi cung ứng tài chính, đặc biệt là các sàn giao dịch tiền điện tử, và lĩnh vực quốc phòng nơi các dữ liệu mật có thể bị đánh cắp phục vụ cho mục tiêu chiến lược.