Este informe, titulado "HIVEPRO Inteligencia Estratégica: La Gran Convergencia: Guerra Cibernética y Cinética Iraní", describe un escenario de conflicto simulado que tuvo lugar entre el 28 de febrero y el 5 de marzo de 2026, marcando una escalada sin precedentes en la guerra híbrida. La convergencia implica la sincronización de ataques físicos (kinetic strikes) y ciberataques, utilizados como una única arma estratégica. El evento, denominado "Operación Furia Épica", involucró aproximadamente 900 ataques físicos dirigidos a infraestructura clave iraní, incluyendo instalaciones de mando del Cuerpo de Guardianes de la Revolución Islámica (IRGC), programas de misiles y sitios nucleares. Simultáneamente, se produjo una severa interrupción de la infraestructura de internet iraní, con solo un 1-4% de la conectividad permaneciendo operativa. El precio del petróleo Brent se disparó a ~$80 por barril debido a la amenaza de interrupción del Estrecho de Ormuz.
La línea de tiempo del conflicto revela una fase de reconocimiento previa, donde actores vinculados a Irán exploraron la infraestructura israelí y del Golfo Pérsico. Tras los ataques físicos iniciales, que resultaron en la muerte del Líder Supremo Khamenei, se produjo una respuesta cibernética israelí que eliminó a un alto funcionario del Ministerio de Inteligencia iraní. Posteriormente, diversos grupos de hackers, incluyendo Handala Hack, APT IRAN, Z-Pentest y CyberAv3ngers, reclamaron compromisos de sistemas de control industrial (ICS) y de infraestructura operativa (OT) en sectores como energía, agua y agricultura.
El informe detalla la estructura del ciberaparato iraní, que opera a través de una red compleja de grupos APT (Advanced Persistent Threat) dirigidos por el estado, empresas fachada y personas hacktivistas. A pesar del apagón generalizado de internet en Irán, los activos distribuidos fuera del país mantuvieron una capacidad ofensiva significativa. Se identificaron siete grupos principales, cada uno con roles tácticos especializados y objetivos específicos, como el robo de datos, el espionaje, la influencia política y el sabotaje de infraestructuras críticas. Un punto crucial es la identificación de un posible ataque de bandera falsa (Sicarii Wiper), un malware diseñado para borrar datos de forma irreversible, con lógica de geofencing que lo excluye de sistemas israelíes, sugiriendo una manipulación para desviar la atribución.
Finalmente, el informe destaca la explotación de vulnerabilidades críticas (CVEs) en productos como FortiOS, Ivanti Connect Secure y PHP-CGI, con la presencia inesperada de un malware persistente (RESURGE) vinculado a un grupo APT chino (UNC5221) explotando una vulnerabilidad previamente identificada por un grupo iraní. Esto subraya la complejidad de las operaciones de ciberataques y la posibilidad de que actores de diferentes países utilicen las mismas vulnerabilidades para acceder a sistemas. El informe sirve como una advertencia sobre la creciente sofisticación de la guerra híbrida y la necesidad de una vigilancia y respuesta cibernética proactiva.