ASUS – kompaktní AI superpočítač ASUS Ascent GX10 | Scenario s.r.o.
Mobilní menu - UPdate IT

Íránská kybernetická odveta nabírá na síle: útoky jsou rychlejší, chytřejší a hůře dohledatelné

Nová vlna operací ukazuje propojení státem podporované špionáže, destruktivních útoků a AI-akcelerovaných kampaní

Digitální prostor se stále výrazněji stává přímým pokračováním geopolitických konfliktů. Nejnovější vývoj kolem íránských kybernetických operací ukazuje, že kybernetické útoky už nejsou pouze doprovodným jevem mezinárodního napětí, ale plnohodnotným nástrojem odvety, nátlaku a destabilizace.

Aktuální analýzy upozorňují na to, že íránsky napojené skupiny kombinují několik přístupů současně: cílenou špionáž, destruktivní útoky maskované jako hacktivismus a stále častěji také nástroje urychlené generativní AI. Výsledkem je hrozba, která je pro organizace obtížněji předvídatelná, rychleji se vyvíjí a dopadá nejen na státní instituce, ale i na firmy, kritickou infrastrukturu a dodavatelské řetězce.

Kybernetická odveta jako součást širšího konfliktu

Po vojenských operacích vedených proti Íránu se digitální reakce rozvinula téměř okamžitě. Navzdory výraznému omezení internetové konektivity v samotném Íránu podle všeho pokračovaly aktivity státem podporovaných skupin i jejich napojených proxy aktérů.

To naznačuje důležitý trend: kybernetické operace jsou stále více decentralizované. Jednotlivé skupiny dokážou fungovat samostatně, s vyšší taktickou autonomií a bez nutnosti nepřetržitého centrálního řízení. Pro obránce to znamená komplikovanější atribuci i menší možnost předvídat, odkud a kdy další útok přijde.

Tři hlavní pilíře současné hrozby

Současné íránské aktivity lze zjednodušeně chápat jako kombinaci tří vzájemně propojených hrozeb:

  • státem podporovaná špionáž, často zaměřená na disidenty, neziskové organizace, média nebo strategické sektory
  • destruktivní a psychologicky zaměřené útoky, které se tváří jako hacktivismus, ale mají širší geopolitický cíl
  • využití AI při přípravě útoků, které zrychluje tvorbu phishingu, průzkum cíle i vývoj škodlivého kódu

Právě tato kombinace zvyšuje tlak na organizace v západních zemích i v oblasti Blízkého východu. Útočníci dokážou propojit technickou kompromitaci s reputačním dopadem, ekonomickým nátlakem i informačními operacemi.

Generativní AI mění tempo útoků

Jedním z nejvýraznějších posunů je zapojení generativní AI do útočného řetězce. Skupiny, které byly dříve závislé na ruční přípravě phishingu a vlastním vývoji nástrojů, dnes dokážou významnou část těchto činností zrychlit.

AI je podle analýz využívána například pro:

  • tvorbu přesvědčivých spear-phishingových zpráv
  • rychlejší profilování vybraných obětí
  • generování nebo úpravu škodlivého kódu „na míru“
  • průběžnou obměnu malwaru tak, aby se hůře detekoval tradičními nástroji

Pro obranu je to zásadní problém. Útočníci mohou ve velmi krátkém čase vytvářet nové varianty nástrojů a kampaní bez nutnosti dlouhého vývoje. To zkracuje čas mezi plánováním a samotným útokem.

MuddyWater: rozšíření malwarového arzenálu

Mezi nejaktivnější skupiny patří dlouhodobě MuddyWater, která je spojována s íránskými zpravodajskými strukturami. V nových kampaních nasadila několik nových rodin malwaru a rozšířila geografický záběr operací od regionu MENA až po západní cíle.

Z technického hlediska je důležité, že skupina nasazuje nástroje postavené i na modernějších jazycích, například Rust, a využívá legitimní služby jako součást komunikační infrastruktury. To komplikuje detekci a zvyšuje pravděpodobnost, že útok projde přes tradiční bezpečnostní filtry.

Nové kampaně cílily mimo jiné na:

  • finanční instituce
  • letiště
  • neziskové organizace
  • firmy napojené na obranný a letecký sektor

Útoky často začínají spear-phishingem a pokračují stažením dalších škodlivých komponent, vzdáleným ovládáním zařízení a laterálním pohybem v síti.

Legitimizovaná komunikace jako způsob skrytí

Významným společným znakem více íránských skupin je používání běžně dostupných a legitimních služeb pro řízení útoku nebo exfiltraci dat. Objevuje se například využití:

  • Telegramu
  • cloudových úložišť
  • vzdálených administračních nástrojů
  • veřejných hostingových platforem

Tento přístup pomáhá útočníkům skrýt škodlivý provoz mezi běžnou síťovou komunikaci. Pro organizace to znamená, že samotné blokování „podezřelých domén“ už často nestačí. Důležitější je sledovat chování, ne pouze reputaci cíle komunikace.

Hacktivismus jako krytí pro destruktivní operace

Vedle špionážních skupin hrají důležitou roli také proíránské hacktivistické persony a koalice, které se zapojují do DDoS útoků, úniků dat, wiper kampaní nebo ransomwarových operací.

Tyto aktivity mají často dvojí efekt:

  • technický dopad na provoz organizace
  • psychologický a mediální efekt, který zvyšuje viditelnost útoku

Právě tato informační rovina je pro současné kampaně typická. Cílem už není pouze proniknout do prostředí, ale také vyvolat tlak, nejistotu a veřejný dojem oslabení protivníka.

Handala a další skupiny cílí na kritickou infrastrukturu

Významnou pozornost vzbuzují i skupiny, které kombinují ransomware, wipery a informační operace. Tyto kampaně se často zaměřují na:

  • energetiku
  • ropný a plynárenský sektor
  • státní správu
  • veřejně dostupné aplikace s chybnou konfigurací

Z pohledu organizací je důležité, že útok nemusí mít primárně finanční motivaci. V řadě případů jde spíše o narušení provozu, poškození důvěry nebo zastrašení. To mění i způsob obrany: nestačí jen chránit data, ale je potřeba počítat s útoky zaměřenými na dostupnost služeb a reputaci.

APT42: cílená špionáž a důraz na cloudové účty

Další sledovanou skupinou je APT42, známá dlouhodobým zaměřením na média, aktivisty, neziskové organizace a další vysoce sledované cíle. Novější kampaně ukazují posun od jednoduchého sběru přihlašovacích údajů k hlubší perzistenci v cloudových prostředích.

Útočníci využívají přesvědčivé sociální inženýrství a následně nasazují nástroje, které fungují převážně v paměti a snaží se minimalizovat stopy na disku. Zajímavým trendem je také zneužití funkcí pro vzdálené ladění prohlížečů, které může pomoci obejít některé běžné bezpečnostní kontroly při krádeži uložených přihlašovacích údajů a cookies.

To je důležitý signál zejména pro organizace, které staví bezpečnost primárně na ochraně koncových stanic, ale méně sledují anomálie v identitách, přístupech a cloudové aktivitě.

Co si z toho mají odnést firmy

Aktuální vývoj potvrzuje, že moderní hrozby už nelze posuzovat odděleně jako „APT“, „hacktivismus“ nebo „ransomware“. V praxi se tyto světy stále více prolínají.

Pro firmy a instituce z toho vyplývá několik zásadních doporučení:

  • posílit viditelnost napříč sítí, cloudy i koncovými zařízeními
  • sledovat anomální chování, ne jen známé indikátory kompromitace
  • důsledně chránit identity, přístupy a privilegované účty
  • připravit se na scénáře, kdy útok kombinuje exfiltraci, sabotáž i reputační nátlak

počítat s tím, že útočníci stále častěji využívají legitimní služby a AI nástroje

Bezpečnostní realita roku 2026

Současná íránská kybernetická ofenziva ukazuje, jak rychle se proměňuje povaha digitálních konfliktů. Útočníci jsou flexibilnější, decentralizovanější a technologicky vyspělejší. Využívají AI ke zrychlení útoků, legitimní infrastrukturu ke skrytí své aktivity a informační operace ke zvýšení dopadu.

Pro organizace to znamená jediné: obrana musí být postavená na průběžném monitoringu, rychlé detekci a schopnosti vnímat kybernetickou hrozbu v širším kontextu byznysového i geopolitického rizika.

Scenario s.r.o.