Predatory Sparrow är en mystisk, mycket sofistikerad pro-israelisk hackergrupp som har genomfört en rad destabiliserande och demoraliserande cyberattacker mot den iranska regimen, senast genom att utplåna större delen av Irans kryptovalutareserver. Gruppens motiv är politiska och dess metoder tyder på betydande resurser och expertis.

Predatory Sparrow verkar under täckmantel av ”hacktivism” och aktiviteten har eskalerat efter de israeliska attackerna mot Iran i juni 2025.

Historiens mest fysiskt destruktiva cyberattack

Gruppens aggressiva cyberkrigföring återspeglas i namnet ”Predatory Sparrow” (”Gonjeshke Darande” på farsi) som översätts till ”rovfågel”.

De fick global uppmärksamhet 2022 när de tog på sig ansvaret för en cyberattack mot en iransk ståltillverkare som resulterade i en allvarlig brand och förlust av människoliv.

Sedan dess har de attackerat iranska institutioner, bensinstationer, banksystem och nu senast Irans största kryptovalutabörs. Tidslinjen innehåller några av de mest välkända attackerna:

• 2021: I juli förlamade de iranska tåg- och transportnätverk, inklusive transportministeriets webbplatser.
• 2021: Senare samma år förstörde de betalterminaler på över 4 000 bensinstationer och ersatte reklam på digitala skyltar med regimkritiska budskap.
• 2022: Sabotage mot stålverk. Den 27 juni genomförde de den kanske mest fysiskt destruktiva cyberattacken i historien mot stålverket i Mobarakeh, Isfahan, vilket resulterade i en massiv läcka av smält stål och en omfattande brand.
• 2023: Den 18 december återupptogs attackerna mot bensinstationer.
• 2024: Digitala skyltar hackade. Budskapet ersatt med regimkritiska meddelanden.
• 2025: Den 17 juni lamslogs Sepah Banks digitala system av en cyberattack mot IRGC:s dotterbolag. Kontotjänster, bankomater och kortbetalningar stoppades och skadlig programvara korrumperade data.
• 2025: Irans statliga television hackades den 17 juni. Chockade iranier fick regimkritiska meddelanden direkt in i sina vardagsrum, där de uppmanades att resa sig mot regimen.
• 2025: Den 18 juni flyttades iranska tillgångar på kryptobörsen Nobitex till otillgängliga blockkedjeadresser.

Pro-israeliska hackare har tömt Irans innehav av kryptovalutor

Potentiellt statligt ansluten operatör

Predatory Sparrow beskrivs som en pro-israelisk, potentiellt statsanknuten aktör som förlitar sig på demoraliserande metoder för att genomdriva strategiska mål i Iran.

Tekniskt sett är Predatory Sparrow kända för att vara extremt sofistikerade. De utför precisa attacker med minimal yttre skada. De varnar räddningstjänsten i förväg – som de gjorde 2022 när de attackerade bensinstationer.

Två underrapporterade saker som slog mig re: Predatory Sparrow’s cyberattack som satte ett stålverk i brand i Iran:

1. Den dödade nästan två personer, vilket framgår av klippet nedan.

2. Det inträffade på dagen 5 år efter Rysslands NotPetya-attack (fortfarande den dyraste cyberattacken i historien) https://t.co/UcJ3Rv3qy1 pic.twitter.com/2vCsvHvaJQ

– Andy Greenberg (@agreenberg på andra ställen) (@a_greenberg) 25 januari 2024

I deras verksamhet ingår också att hacka digitala skyltar för att visa regimkritiska budskap, och de har använt avancerade metoder som SQL-injektioner och ransomware. Dessa tekniker tyder på att gruppen antingen är statligt sponsrad eller på annat sätt har tillgång till betydande resurser.

Gruppen är en uttalad motståndare till den islamiska regimen och dess attacker syftar till att försvaga Irans ekonomiska och militära kapacitet. Det är dock inte alla som har accepterat ”hacktivist”-berättelsen. Itay Cohen på Check Point Software anser att det är en facadoch att de sannolikt drivs eller sponsras av en nationalstat.