文章总结： 研究显示，在2026年2月底的军事行动前，伊朗网络组织已提前六个月激增基础设施活动，为网络攻击做好准备。这些组织通过多层复杂的基础设施（如利用不同国家的主机提供商和空壳公司）掩盖来源，并在袭击后24小时内建立协调中心，迅速展开针对美以等国的网络反击。 综合评分： 85 文章分类： 威胁情报,网络安全,恶意软件,APT,红队

伊朗在“史诗级狂怒”行动前已做好网络攻击应对准备

会杀毒的单反狗 会杀毒的单反狗

军哥网络安全读报

2026年3月20日 09:03 湖北

导读

在2026年2月底美以空袭开始后，伊朗的恶意网络活动立即增加。更令人惊讶的是，伊朗情报与安全部（MOIS）和伊朗伊斯兰革命卫队（IRGC）旗下的网络组织似乎早已为此做好准备。

Augur Security 的一项研究表明，利用人工智能和行为建模技术对恶意基础设施进行早期识别和映射，许多与政府有关联的组织在“史诗狂怒”行动之前的六个月内，基础设施活动有所增加。

Augur 的分析描述了伊朗网络犯罪分子典型的多层基础设施，旨在掩盖其真实来源。该基础设施以 Sefroyek Pardaz Engineering 为起点，这是一家位于德黑兰的伊朗互联网服务提供商和托管公司。

第二层级包括防弹主机提供商，例如摩尔多瓦的 ALEXHOST 和怀俄明州的空壳公司 RouterHosting LLC，这两家公司历史上都与伊朗威胁行为者的基础设施有关。

第三层涉及更多空壳公司。例如 Cloudblast，该公司在美国注册，但实际运营地点在迪拜，并通过一家位于荷兰的上游服务商进行路由，这增加了一层司法管辖区的复杂性，进一步加大了调查和执法难度。

第二个例子是 UltaHost，它拥有双重注册——在美国注册为 UltaHost Inc，在英国注册为 ULTAHOST Ltd。它以美国母公司和英国子公司的形式运营。2025 年 2 月 5 日，ICANN 向 UltaHost Inc 发出正式通知，指控其“违反注册商认证协议”。

Augur Security首席执行官Joe Lea评论道：“攻击到达目标网络之前，需要先建立基础设施。绘制并破坏这些基础设施是防御者在攻击开始前阻止其发生的最有效方法之一。”

该报告描述了在 2026 年 2 月 28 日美国/以色列对伊朗发动袭击之前的六个月里，伊朗主要 APT 组织的基建活动激增。

例如， MuddyWater在 2025 年 9 月中旬的 72 小时内被标记了 7 个 CIDR。其中 5 个与爱沙尼亚 ASN 提供商有关，涉及的国家代码涵盖俄罗斯、英国和爱沙尼亚；其余 2 个与 Clouvider 有关，Clouvider 是一家总部位于英国的通用托管提供商，有记录显示其曾被多个威胁行为者组织滥用。

Augur认为，MuddyWater的这一活动时间与美军“史诗狂怒行动”和以色列“咆哮雄狮行动”联合行动开始前的基础设施部署时间相符。Augur指出，“我们对这一时间相关性的评估有中等程度的把握，认为此次部署是为了打击行动后的准备工作。”

汉达拉（Handala）是攻击美国医疗技术巨头史赛克（Stryker）的幕后黑手，它是伊朗情报部（MOIS）关联网络组织中较新的成员，于2023年才出现。

Augur的分析显示，该组织没有特定的基础设施活动，但过去曾进行过数据窃取和擦除操作，主要针对以色列。今年，该组织加大了活动力度，并参与了伊朗针对2月28日袭击事件的协同网络反击行动。

Augur 的报告中提到的其他伊朗 APT 组织包括 OilRig/ APT34 (MOIS)、APT35 /Charming Kitten (IRGC-IO)、APT33 /Peach Sandstorm (IRGC)、Cotton Sandstorm/ Emennet Pasargad (IRGC) 和 CyberAv3ngers (IRGC-CEC)。

报告指出，2月28日之后，黑客行动主义活动迅速且协调地扩张。“袭击发生后24小时内，一个电子作战室便已建立，为估计60个或更多黑客行动主义组织提供集中协调。”这与2023年10月加沙冲突升级后的协调情况如出一辙。

这些组织包括网络法塔赫（CyberFattah）、法蒂米扬网络团队（Fatimiyoun Cyber Team）、汉达拉（Handala）以及在“棉花沙暴”（Cotton Sandstorm）协调下运作的附属团体。其主要目标是以色列和美国政府、金融机构以及关键基础设施组织。其次是被认为协助美以发动袭击的海湾国家。

尽管美以空袭破坏了伊朗的国内互联网连接，但并未严重影响伊朗高级持续性威胁组织（APT）继续并扩大其网络行动的能力。

报告全文：

《威胁研究：伊朗 2026威胁态势评估》

https://www.augursecurity.com/post/threat-research-iran-2026-threat-posture-assessment

新闻链接：

https://www.securityweek.com/iran-readied-cyberattack-capabilities-for-response-prior-to-epic-fury/

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗 会杀毒的单反狗《伊朗在“史诗级狂怒”行动前已做好网络攻击应对准备》