יחידת המחקר של חברת פאלו אלטו נטוורקס, Unit 42, זיהתה קמפיין פישינג איראני שעלה עם פרוץ מלחמת "שאגת הארי" אשר פועל באמצעות התחזות לאפליקציית "צבע אדום" של פיקוד העורף. הקמפיין מבוסס על עמוד מזוייף המתחזה לפורטך החירום הלאומי של פיקוד העורף. כאשר נכנסים אליו מקבלים הודעה שיש תקלה באפליקציית צבע אדום, ולכן המשתמשים מתבקשים לבצע עידכון שלה. לאחר שהמשתמש מבצע את העידכון הנדרש, הוא מקבל הודעה שהתקלה נפתרה והוא יכול לחזור ולהשתמש באפליקציה. אלא שבפועל תהליך "העידכון" לא כלל שום עידכון – במהלכו הורד לנייד קובץ אנדרואיד APK הנראה לגיטימי במבט ראשון, אולם לאחר שהוא הותקן בנייד של המשתמש, הוא מפעיל ומפיץ נוזקה מסוג Data-exfiltrating malware, אשר משמשת לגניבת מידע ולמעקב אחר המשתמש.

חוקרי  Unit 42 מזהים עלייה חדה בפעילות של קבוצות האקרים פרו-המשטר האיראני הפועלות מחוץ לאיראן. הם מעריכים שכ-60 קבוצות שונות פעילות כעת בזירה, ובהן גם קבוצות פרו-רוסיות. מספר האקרים וקבוצות האקרים המזוהים עם איראן נטלו אחריות לשורה של פעולות שיבוש נגד ישראל. חלקן שותפות בפרוייקט "חדר המבצעים האלקטרוני" (Electronic Operations Room) שהוקם ב-28 בפברואר 2026 במטרה ליזום ולתאם פעילות נגד ישראל. ניתן לקרוא את הדו"ח בכתובת: Threat Brief: March 2026 Escalation of Cyber Risk Related to Iran.

היעדים המרכזיים של איומים מדינתיים המזוהים עם איראן הם לרוב ריגול ושיבוש. הטכניקות שלהם כוללות שימוש בקמפייני spear-phishing ממוקדים המוגברים באמצעות בינה מלאכותית, ניצול חולשות אבטחה ידועות, ושימוש בתשתיות חשאיות לצורכי ריגול. יחד עם זאת, סגן נשיא פאלו אלטו וחוקר בכיר ב-Unit 42, סם רובין, אמר שמבצעים מדינתיים גדולים נגד ישראל שמקורם באיראן, צפויים להיות מוגבלים בהיקפם בגלל הפגיעה בתעבורת האינטרנט בתוך איראן עצמה.

האקרים פרו-רוסים מצטרפים למערכה

קבוצת ההאקטיביסטים הפרו-רוסית Cardinal טענה כי תקפה מערכות של צה"ל באמצעות ערוץ הטלגרם הציבורי שלה. ההערכה היא שהקבוצה מיושרת עם אינטרסים מדינתיים, אך ככל הנראה פועלת ללא מימון ישיר מהמדינה. הקבוצה טענה כי חדרה לרשתות צה"ל והפנתה למסמך לכאורה מסווג הקשור למבצע "מגן צפוני" משנת 2019, שבמהלכו נחשפו מנהרות טרור חוצות גדר בגבול לבנון. המסמך שפורסם כולל פרטי תנועות מבצעיות, אישורי פיקוד ופרטי קשר.

קבוצת ההאקרים הפרו-רוסית NoName057, טענה כי תקפה מספר יעדים ישראליים, וביצעה פעולות שיבוש נגד מגוון גופים מוניציפליים, פוליטיים, תקשורתיים וביטחוניים בישראל. קולקטיב ההאקטיביסטים הפרו-רוסי Russian Legion טען שהשיג גישה אל מערכת ההגנה האווירית "כיפת ברזל" של ישראל. בפרסום שלהם נטען כי הם שולטים במערכות מכ"ם, במיירטים ומבצעים ניטור בזמן אמת של פעילות המערכת. לטענתם, הם הצליחו להביא לשיתוק המערכת ולאובדן שליטה על יכולות היירוט שלה. הקבוצה אף טענה למבצע סייבר חדש שלדבריה פגע בשרתים סגורים של צה"ל.

גורמי סייבר הפועלים בחסות סין מגבירים את פעילותם נגד תעשיית השבבים של טאיוואן – כך עולה מדו"ח חדש של חברת האבטחה האמריקאית Proofpoint, שממצאיו פורסמו לראשונה (ה') ברויטרס. לפי הדו"ח, לפחות שלוש קבוצות פריצה שונות פעלו בין מרץ ליוני השנה נגד חברות טכנולוגיה, ספקים וגורמים פיננסיים הקשורים ישירות או בעקיפין לתעשיית הסמיקונדקטורס הטאיוואנית. במרכז התקיפות עמדו 15-20 ארגונים, בהם חברות טכנולוגיה קטנות, אנליסטים פיננסיים העובדים עם בנקים רב-לאומיים, וחברות שירותים הנותנות מענה לתעשיית השבבים.

קבוצות התקיפה השתמשו בשיטות פישינג מתוחכמות, תוך התחזות לאוניברסיטאות טאיוואניות או לחברות השקעה זרות, בניסיון לפתות קורבנות לפתוח קבצים זדוניים או למסור פרטים רגישים. החוקרים זיהוי שלוש קבוצות עיקריות: UNK_FistBump, UNK_DropPitch ו-UNK_SparkyCarp, שכל אחת מהן הפעילה שיטות שונות. UNK_FistBump התחזתה למועמדים לעבודה ושלחה קבצי קורות חיים שנראו תמימים אך הכילו קבצי ZIP ממולכדים.

בתוך אותם קבצים הוסתרו תוכנות זדוניות – בהן גרסאות של הכלים המתקדמים Cobalt Strike ו-Voldemort. תקיפות אלו השתמשו בטכניקת DLL sideloading: הפעלה של קובץ חוקי (כמו תוכנת תקשורת לגיטימית), שבאמצעותו הופעל קוד עוין. אחת הטכניקות כללה אף שימוש ב־Google Sheets כערוץ תקשורת סמוי בין התוקף לבין מחשב הנגוע.

חברת השקעות דמיונית

קבוצת UNK_DropPitch פעלה בזירה הפיננסית והתחזתה לחברת השקעות המעוניינת בשיתוף פעולה עם אנליסטים. גם כאן נשלחו מיילים עם קבצים ממולכדים, אך התקשורת עם התוקפים עברה דרך שרתי VPN מוסווים, עם תעודות אבטחה (TLS) החוזרות על עצמן – עדות לכך שמדובר בתשתית קבועה של ריגול סיני. קבומת UNK_SparkyCarp פעלה בצורה מתוחכמת במיוחד באמצעות מתקפות מסוג Adversary-in-the-Middle (AiTM). הקורבן הגיע לאתר כניסה מזויף שנראה כמו עמוד של ספק אמיתי, שם הזין סיסמה וקיבל בקשה לקוד אימות דו-שלבי. בעודו מקליד את הקוד, ההאקר גונב גם את הסיסמה וגם את ה־session – ומקבל גישה מלאה לחשבון בלא צורך לבצע פריצה ממשית.

חברת הסייבר הטאיוואנית TeamT5, שסיפקה מידע נוסף לדו"ח, הדגישה שמדובר בתקיפות ממוקדות, לא בהכרח רחבות היקף, המאופיינות בעקביות ובתחכום. אחת מהקבוצות שזוהו, Amoeba, פעלה לא רק נגד חברות טכנולוגיה אלא גם נגד חברה כימית המעורבת בייצור חומרים עבור תעשיית השבבים. למרות ש-Proofpoint לא ציינה את שמות החברות שנפגעו ישירות, הדו"ח מציין כי חברות כמו TSMC, MediaTek, UMC, Nanya ו-RealTek מהוות מטרות ברורות, גם אם לא ידוע אם נפרצו בפועל.

לחץ פוליטי, כלכלי וטכנולוגי

השיטות שהופעלו מצביעות על ניסיון מתמשך לא רק לפרוץ לחברות הגדולות – אלא גם להסתנן אליהן דרך שרשרת האספקה, ספקים קטנים ועובדים חיצוניים. הדו"ח מתריע מפני חפיפה בין תשתיות הסייבר של קבוצות התקיפה לבין קבוצות סיניות ידועות כמו APT41 ו-TA415. הוא ממליץ לארגונים בתעשיית השבבים להטמיע אמצעי הגנה מתקדמים יותר: אימות דו-שלבי עמיד בפני AiTM (למשל FIDO2), סינון מיילים חכם, ניטור תקשורת זדונית ושיתוף מידע מתואם בין חברות ואגפים ממשלתיים. שגרירות סין בוושינגטון מסרה לרויטרס בתגובה: "הטענות חסרות בסיס, סין מתנגדת נחרצות לכל סוג של תקיפות סייבר". בתעשייה מעריכים שלאור המתיחות הגוברת בין סין לטאיוואן, ומאמצי בייג’ינג להאיץ את פיתוח תעשיית השבבים שלה – ייתכן שפעולות מסוג זה הן חלק מאסטרטגיה רחבה המשלבת לחץ פוליטי, כלכלי וטכנולוגי.