Los actores de amenazas con vínculos con Irán participaron en una guerra cibernética como parte de los esfuerzos para facilitar y mejorar los ataques físicos en el mundo real, una tendencia que Amazon ha llamado objetivos cinéticos cibernéticos.
El desarrollo es una señal de que las líneas entre los ciberataques patrocinados por el estado y la guerra cinética se están volviendo cada vez más borrosas, lo que requiere la necesidad de una nueva categoría de guerra, dijo el equipo de inteligencia de amenazas del gigante tecnológico en un informe compartido con The Hacker News.
Si bien los marcos tradicionales de ciberseguridad han tratado las amenazas digitales y físicas como dominios separados, CJ Moses, CISO de Amazon Integrated Security, dijo que estas delimitaciones son artificiales y que los actores de amenazas de los estados-nación están participando en actividades de reconocimiento cibernético para permitir la focalización cinética.
«Estos no son sólo ataques cibernéticos que causan daños físicos; son campañas coordinadas en las que las operaciones digitales están diseñadas específicamente para apoyar objetivos militares físicos», añadió Moses.
Como ejemplo, Amazon dijo que observó a Imperial Kitten (también conocido como Tortoiseshell), un grupo de piratas informáticos considerado afiliado al Cuerpo de la Guardia Revolucionaria Islámica (IRGC) de Irán, realizando un reconocimiento digital entre diciembre de 2021 y enero de 2024, apuntando a la plataforma del Sistema de Identificación Automática (AIS) de un barco con el objetivo de obtener acceso a infraestructura de envío crítica.
Posteriormente, se identificó que el actor de la amenaza atacaba plataformas adicionales de embarcaciones marítimas y, en un caso, incluso obtuvo acceso a cámaras CCTV instaladas en una embarcación marítima que proporcionaban inteligencia visual en tiempo real.
El ataque avanzó a una fase de recopilación de inteligencia específica el 27 de enero de 2024, cuando Imperial Kitten llevó a cabo búsquedas específicas de datos de ubicación AIS para un buque de transporte específico. Apenas unos días después, ese mismo barco fue blanco de un fallido ataque con misiles llevado a cabo por militantes hutíes respaldados por Irán.
Las fuerzas hutíes han sido atribuidas a una serie de ataques con misiles contra barcos comerciales en el Mar Rojo en apoyo al grupo militante palestino Hamas en su guerra con Israel. El 1 de febrero de 2024, el movimiento hutí en Yemen afirmó que había atacado un barco mercante estadounidense llamado KOI con «varios misiles navales apropiados».
«Este caso demuestra cómo las operaciones cibernéticas pueden proporcionar a los adversarios la inteligencia precisa necesaria para llevar a cabo ataques físicos dirigidos contra la infraestructura marítima, un componente crítico del comercio global y la logística militar», dijo Moses.
Otro estudio de caso se refiere a MuddyWater, un actor de amenazas vinculado al Ministerio de Inteligencia y Seguridad (MOIS) de Irán, que estableció una infraestructura para una operación de red cibernética en mayo de 2025 y luego utilizó ese servidor un mes después para acceder a otro servidor comprometido que contenía transmisiones de CCTV en vivo desde Jerusalén para recopilar inteligencia visual en tiempo real de objetivos potenciales.
El 23 de junio de 2025, aproximadamente cuando Irán lanzó ataques generalizados con misiles contra la ciudad, la Dirección Nacional Cibernética de Israel reveló que «los iraníes han estado tratando de conectarse a cámaras para comprender qué sucedió y dónde impactaron sus misiles para mejorar su precisión».
Para llevar a cabo estos ataques de múltiples capas, se dice que los actores de amenazas enrutaron su tráfico a través de servicios VPN anónimos para ocultar sus verdaderos orígenes y complicar los esfuerzos de atribución. Los hallazgos sirven para resaltar que los ataques centrados en el espionaje pueden, en última instancia, ser una plataforma de lanzamiento para objetivos cinéticos.
«Los actores del Estado-nación están reconociendo el efecto multiplicador de fuerza de combinar el reconocimiento digital con ataques físicos», dijo Amazon. «Esta tendencia representa una evolución fundamental en la guerra, donde las fronteras tradicionales entre operaciones cibernéticas y cinéticas se están disolviendo».