Bedreigingsactoren met banden met Iran zijn betrokken bij cyberoorlogvoering als onderdeel van inspanningen om fysieke aanvallen in de echte wereld te vergemakkelijken en te versterken, een trend die Amazon cyber-enabled kinetic targeting heeft genoemd.
De ontwikkeling is een teken dat de grenzen tussen door de staat gesponsorde cyberaanvallen en kinetische oorlogsvoering steeds vager vervagen, waardoor de behoefte aan een nieuwe categorie van oorlogvoering noodzakelijk wordt, aldus het dreigingsinformatieteam van de technologiegigant in een rapport gedeeld met The Hacker News.
Terwijl traditionele cybersecurity-frameworks digitale en fysieke bedreigingen als afzonderlijke domeinen hebben behandeld, zei CJ Moses, CISO van Amazon Integrated Security, dat deze afbakeningen kunstmatig zijn en dat nationale dreigingsactoren zich bezighouden met cyberverkenningsactiviteiten om kinetische targeting mogelijk te maken.
“Dit zijn niet alleen cyberaanvallen die fysieke schade veroorzaken; het zijn gecoördineerde campagnes waarbij digitale operaties specifiek zijn ontworpen om fysieke militaire doelstellingen te ondersteunen”, voegde Moses eraan toe.
Amazon zei bijvoorbeeld dat het Imperial Kitten (ook wel Tortoiseshell genoemd), een hackgroep die naar verluidt banden heeft met de Iraanse Islamitische Revolutionaire Garde (IRGC), tussen december 2021 en januari 2024 digitale verkenningen uitvoerde, gericht op het Automatic Identification System (AIS)-platform van een schip met als doel toegang te krijgen tot kritieke scheepvaartinfrastructuur.
Vervolgens werd vastgesteld dat de dreigingsactoren nog meer maritieme scheepsplatforms aanviel, waarbij hij in één geval zelfs toegang kreeg tot CCTV-camera’s die op een zeeschip waren gemonteerd en die voor realtime visuele intelligentie zorgden.
De aanval ging op 27 januari 2024 over naar een gerichte fase van het verzamelen van inlichtingen, toen Imperial Kitten gerichte zoekopdrachten uitvoerde naar AIS-locatiegegevens voor een specifiek scheepsschip. Slechts enkele dagen later werd datzelfde schip het doelwit van een mislukte raketaanval, uitgevoerd door door Iran gesteunde Houthi-militanten.
De Houthi-troepen worden toegeschreven aan een reeks raketaanvallen gericht op de commerciële scheepvaart in de Rode Zee ter ondersteuning van de Palestijnse militante groep Hamas in haar oorlog met Israël. Op 1 februari 2024 beweerde de Houthi-beweging in Jemen dat ze een Amerikaans koopvaardijschip genaamd KOI had getroffen met “verschillende geschikte zeeraketten”.
“Deze zaak laat zien hoe cyberoperaties tegenstanders kunnen voorzien van de precieze informatie die nodig is om gerichte fysieke aanvallen uit te voeren op de maritieme infrastructuur – een cruciaal onderdeel van de mondiale handel en militaire logistiek”, aldus Moses.
Een andere casestudy betreft MuddyWater, een dreigingsacteur die banden heeft met het Iraanse Ministerie van Inlichtingen en Veiligheid (MOIS), die in mei 2025 de infrastructuur voor een cybernetwerkoperatie heeft opgezet en die server een maand later later heeft gebruikt om toegang te krijgen tot een andere gecompromitteerde server met live CCTV-streams uit Jeruzalem om realtime visuele informatie over potentiële doelen te verzamelen.
Op 23 juni 2025, rond de tijd dat Iran wijdverbreide raketaanvallen op de stad lanceerde, maakte het Israel National Cyber Directorate bekend dat “Iraniërs hebben geprobeerd verbinding te maken met camera’s om te begrijpen wat er is gebeurd en waar hun raketten insloegen om hun precisie te verbeteren.”
Om deze meerlaagse aanvallen uit te voeren, zouden de bedreigingsactoren hun verkeer via anonimiserende VPN-diensten hebben geleid om de ware oorsprong ervan te verdoezelen en de attributie-inspanningen te bemoeilijken. De bevindingen benadrukken dat spionagegerichte aanvallen uiteindelijk een springplank kunnen zijn voor kinetic targeting.
“Natiestatelijke actoren erkennen het krachtvermenigvuldigingseffect van het combineren van digitale verkenning met fysieke aanvallen”, aldus Amazon. “Deze trend vertegenwoordigt een fundamentele evolutie in oorlogsvoering, waarbij de traditionele grenzen tussen cyber- en kinetische operaties vervagen.”
