Các tác nhân đe dọa có liên hệ với Iran đã tham gia vào chiến tranh mạng nhằm tạo điều kiện và tăng cường các cuộc tấn công vật lý, ngoài đời thực, một xu hướng mà Amazon đã gọi là cyber-enabled kinetic targeting.
Sự phát triển này là dấu hiệu cho thấy ranh giới giữa các cuộc tấn công mạng do nhà nước bảo trợ (state-sponsored cyber attacks) và chiến tranh động học (kinetic warfare) ngày càng mờ nhạt, đòi hỏi một loại hình chiến tranh mới, nhóm tình báo mối đe dọa của gã khổng lồ công nghệ cho biết trong một báo cáo được chia sẻ với The Hacker News.
Trong khi các framework cybersecurity truyền thống coi các mối đe dọa kỹ thuật số và vật lý là các lĩnh vực riêng biệt, CJ Moses, CISO của Amazon Integrated Security, cho biết những phân định này là nhân tạo và các tác nhân đe dọa do nhà nước bảo trợ đang tham gia vào hoạt động cyber reconnaissance để kích hoạt kinetic targeting.
"Đây không chỉ là các cuộc tấn công mạng tình cờ gây ra thiệt hại vật lý; chúng là các chiến dịch phối hợp trong đó các hoạt động kỹ thuật số được thiết kế đặc biệt để hỗ trợ các mục tiêu quân sự vật lý," Moses cho biết thêm.
Ví dụ, Amazon cho biết họ đã quan sát thấy nhóm Imperial Kitten (còn gọi là Tortoiseshell), một nhóm hacking được đánh giá là có liên hệ với Lực lượng Vệ binh Cách mạng Hồi giáo Iran (IRGC), đã tiến hành digital reconnaissance từ tháng 12 năm 2021 đến tháng 1 năm 2024, nhắm mục tiêu vào nền tảng Automatic Identification System (AIS) của một con tàu với mục tiêu giành quyền truy cập vào cơ sở hạ tầng vận chuyển quan trọng.
Sau đó, tác nhân đe dọa này được xác định đã tấn công các nền tảng tàu biển bổ sung, trong một trường hợp thậm chí còn giành quyền truy cập vào các camera CCTV được trang bị trên một tàu biển, cung cấp thông tin tình báo trực quan theo thời gian thực.
Cuộc tấn công tiến triển đến giai đoạn thu thập thông tin tình báo có mục tiêu vào ngày 27 tháng 1 năm 2024, khi Imperial Kitten thực hiện các tìm kiếm mục tiêu cho dữ liệu vị trí AIS của một tàu biển cụ thể. Chỉ vài ngày sau đó, chính con tàu này đã bị nhắm mục tiêu bởi một cuộc tấn công tên lửa không thành công do phiến quân Houthi do Iran hậu thuẫn thực hiện.
Lực lượng Houthi đã bị cho là đã thực hiện một loạt các cuộc tấn công tên lửa nhắm vào tàu thương mại ở Biển Đỏ để hỗ trợ nhóm chiến binh Palestine Hamas trong cuộc chiến với Israel. Vào ngày 1 tháng 2 năm 2024, phong trào Houthi ở Yemen tuyên bố đã tấn công một tàu buôn của Mỹ tên KOI bằng "một số tên lửa hải quân thích hợp."
"Trường hợp này chứng minh cách các hoạt động mạng có thể cung cấp cho kẻ thù thông tin tình báo chính xác cần thiết để thực hiện các cuộc tấn công vật lý có mục tiêu chống lại cơ sở hạ tầng hàng hải – một thành phần quan trọng của thương mại toàn cầu và logistics quân sự," Moses nói.
Một trường hợp nghiên cứu khác liên quan đến MuddyWater, một tác nhân đe dọa có liên hệ với Bộ Tình báo và An ninh Iran (MOIS), đã thiết lập cơ sở hạ tầng cho một hoạt động mạng vào tháng 5 năm 2025, và sau đó một tháng đã sử dụng máy chủ đó để truy cập một máy chủ bị xâm nhập khác chứa các luồng CCTV trực tiếp từ Jerusalem để thu thập thông tin tình báo trực quan theo thời gian thực về các mục tiêu tiềm năng.
Vào ngày 23 tháng 6 năm 2025, vào khoảng thời gian Iran phóng các cuộc tấn công tên lửa trên diện rộng nhằm vào thành phố, Israel National Cyber Directorate tiết lộ rằng "người Iran đã cố gắng kết nối với các camera để hiểu điều gì đã xảy ra và tên lửa của họ đã tấn công vào đâu để cải thiện độ chính xác."
Để thực hiện các cuộc tấn công đa lớp này, các tác nhân đe dọa được cho là đã định tuyến lưu lượng truy cập của họ thông qua các dịch vụ VPN ẩn danh để che giấu nguồn gốc thực sự và làm phức tạp các nỗ lực attribution. Những phát hiện này nhấn mạnh rằng các cuộc tấn công tập trung vào hoạt động gián điệp cuối cùng có thể là bệ phóng cho kinetic targeting.
"Các tác nhân nhà nước đang nhận ra hiệu ứng nhân đôi sức mạnh khi kết hợp digital reconnaissance với các cuộc tấn công vật lý," Amazon cho biết. "Xu hướng này đại diện cho một sự phát triển cơ bản trong chiến tranh, nơi ranh giới truyền thống giữa các hoạt động mạng và động học đang dần biến mất."
