Los actores de amenazas con vínculos con Irán participaron en la guerra cibernética como parte de los esfuerzos por facilitar y mejorar los ataques físicos en el mundo real, una tendencia que Amazon ha denominado ataques cinéticos basados en la ciberseguridad.
El hecho es una señal de que las líneas entre los ciberataques patrocinados por el estado y la guerra cinética se están difuminando cada vez más, lo que hace necesaria una nueva categoría de guerra, el equipo de inteligencia de amenazas del gigante tecnológico dijo en un informe compartido con The Hacker News.
Si bien los marcos de ciberseguridad tradicionales han tratado las amenazas digitales y físicas como dominios separados, CJ Moses, CISO de Amazon Integrated Security, afirmó que estas delimitaciones son artificiales y que los actores de amenazas de los estados nacionales están realizando actividades de ciberreconocimiento para permitir la segmentación cinética.
«No se trata solo de ciberataques que causan daños físicos, sino de campañas coordinadas en las que las operaciones digitales están diseñadas específicamente para apoyar objetivos militares físicos», añadió Moses.
Como ejemplo, Amazon dijo que observó Gatito imperial (también conocido como Tortoiseshell), un grupo de hackers que, según se ha determinado, está afiliado al Cuerpo de la Guardia Revolucionaria Islámica (IRGC) de Irán, llevó a cabo un reconocimiento digital entre diciembre de 2021 y enero de 2024, con el objetivo de acceder a una infraestructura marítima crítica.
Posteriormente, se identificó que el actor de la amenaza había atacado plataformas adicionales de embarcaciones marítimas y, en un caso, incluso accedió a cámaras de circuito cerrado de televisión instaladas en una embarcación marítima que proporcionaban inteligencia visual en tiempo real.
El ataque pasó a una fase de recopilación de inteligencia dirigida el 27 de enero de 2024, cuando Imperial Kitten llevó a cabo búsquedas selectivas de datos de ubicación AIS para un buque de transporte específico. Pocos días después, ese mismo buque fue blanco de un infructuoso ataque con misiles llevado a cabo con el respaldo de Irán Militantes hutíes .
Las fuerzas hutíes han sido atribuido a una serie de ataques con misiles contra barcos comerciales en el Mar Rojo en apoyo del grupo militante palestino Hamas en su guerra con Israel. El 1 de febrero de 2024, el movimiento hutí en Yemen reclamado había alcanzado un buque mercante estadounidense llamado KOI con «varios misiles navales apropiados».
«Este caso demuestra cómo las operaciones cibernéticas pueden proporcionar a los adversarios la inteligencia precisa necesaria para llevar a cabo ataques físicos dirigidos contra la infraestructura marítima, un componente fundamental del comercio mundial y la logística militar», dijo Moses.
Otro estudio de caso se refiere a MuddyWater, un actor de amenazas vinculado al Ministerio de Inteligencia y Seguridad (MOIS) de Irán, que estableció la infraestructura para una operación de red cibernética en mayo de 2025 y, posteriormente, utilizó ese servidor un mes después para acceder a otro servidor comprometido que contenía transmisiones de CCTV en vivo desde Jerusalén para recopilar información visual en tiempo real sobre posibles objetivos.
El 23 de junio de 2025, cuando Irán lanzó ataques generalizados con misiles contra la ciudad, la Dirección Nacional de Ciberseguridad de Israel divulgado que «los iraníes han estado intentando conectarse a las cámaras para entender qué pasó y dónde impactaron sus misiles a fin de mejorar su precisión».
Para llevar a cabo estos ataques de varios niveles, se dice que los actores de amenazas dirigieron su tráfico a través de servicios de VPN anónimos para ocultar sus verdaderos orígenes y complicar los esfuerzos de atribución. Los hallazgos sirven para poner de relieve que los ataques centrados en el espionaje pueden, en última instancia, ser una plataforma de lanzamiento para la segmentación cinética.
«Los actores de los estados nacionales están reconociendo el efecto multiplicador de fuerza de combinar el reconocimiento digital con los ataques físicos», dijo Amazon. «Esta tendencia representa una evolución fundamental en la guerra, donde los límites tradicionales entre las operaciones cibernéticas y cinéticas se están disolviendo».