Skip to content
Chimera readability score 0.4222 out of 100, reading level.

Kriget mot Iran har följts av cyberattacker mot USA. En av dem beskrivs som den största Iran har utfört i krigstid. Bakom attacken står en hackargrupp som framställer sig som aktivister, men som kopplas till den iranska underrättelsetjänsten. Nu varnar experter för fler cyberangrepp i krigets kölvatten.
En utskrift från Dagens Nyheter, 2026-03-17 15:05
Artikelns ursprungsadress: https://www.dn.se/varlden/varningar-for-iranskt-cyberkrig-efter-stor-hackarattack/
Varningar för iranskt cyberkrig efter stor hackarattack
Få ut mer av DN som inloggad
Du vet väl att du kan skapa ett gratiskonto på DN? Som inloggad kan du ta del av flera smarta funktioner.
- Följ dina intressen
- Nyhetsbrev
En robotröst svarar på svenska när man ringer företaget Stryker i Sverige: ”Vi fortsätter att lösa störningarna på vårt globala nätverk”, säger rösten och intygar sedan att det är tryggt att kommunicera med de anställda. Om det sker via telefon.
Stryker är ett medicintekniskt företag med huvudkontor i Michigan, USA, men med kontor i både Malmö och Lund. Här i Sverige utvecklar bolaget bland annat en maskin att sätta in vid hjärtstopp.
Den svenska verksamheten var knappast målet, men tycks ändå ha påverkats när en grupp iransk-kopplade hackare nyligen tog sig in på Strykers nätverk och utförde ett massivt sabotage. Enligt gruppen förstördes flera petabyte – miljontals gigabyte – data.
Attacken beskrivs som den största från iranskt håll i krigstid någonsin. Stryker uppmanade sina anställda att inte koppla upp sig mot företagets nätverk och vissa sjukhus i USA stängde tillfälligt Strykers plattform för kommunikation mellan personal inom akutvård. Företaget finns i många länder och har över 50 000 anställda.
Bakom intrånget mot Stryker står en grupp som framträder som politiskt motiverade aktivister, ofta med udden riktad mot Israel. Den heter Handala, ett namn taget efter en klassisk palestinsk seriefigur. Men enligt flera it-säkerhetsföretag, och enligt medieuppgifter även amerikanska statliga myndigheter, så är den egentligen en front för Irans underrättelsetjänst.
Det tydligaste utpekandet kommer från det israeliska säkerhetsföretaget Checkpoint, som beskriver Handala som en förlängning av Irans underrättelseministerium.
Enligt gruppen var angreppet på Stryker en hämnd för bombningen av en flickskola i iranska Minab, där över 150 personer varav de flesta barn, dödades. En ökande mängd bevisning pekar på att det var USA som utförde attacken.
Rena underrättelsehackare brukar föredra att agera i det fördolda, men Handala-gruppen driver en öppen blogg och har kanaler på sociala medier där de skryter om sina attacker.
I olika inlägg har gruppen hävdat att 200 000 system skulle ha förstörts och att Stryker-kontor i 79 länder påverkades. Gruppen har varit känd i ett par år, men sabotaget mot Stryker är dess största hittills.
– Iran har fortfarande av allt att döma fortfarande en stark cyberförmåga, sa Jen Easterly, tidigare chef för USA:s cybersäkerhetsmyndighet på en konferens nyligen.
Varför just Stryker angreps är oklart, men valet av offer kan ha varit opportunt – att det helt enkelt var där hackarna hittade ett sätt att ta sig in. Det kan innebära en hotbild som är mer oförutsägbar, där angripare kan slå mot vilka företag eller institutioner som helst, för att göra maximal skada.
Irans underrättelsearbete
● Säkerhetspolisen pekar ut Iran som ett av de största cyberhoten mot Sverige, tillsammans med Ryssland och Kina. Även FBI och flera europeiska säkerhetstjänster varnar för allt mer offensiva iranska cyberoperationer.
● Landet har en av världens mest aktiva cyber- och underrättelseapparater. Iran kopplas till dataintrång mot allt från europeiska myndigheter och amerikanska universitet, till försvars- och energibolag.
● Det iranska cyberprogrammet beskrivs av säkerhetstjänster som ett lapptäcke av statliga aktörer, privata it-firmor, kontrakterade hackargrupper och underrättelseofficerare. Deras operationer är ofta breda, tekniskt avancerade och riktade mot mål med strategisk betydelse: energi, försvar, telekom, utbildning och offentlig förvaltning.
Attacken skiljer sig från den typ av utpressningsattacker som har blivit vanliga på senare år, där angriparen försöker pressa offret på pengar. De utförs i regel av kriminella grupper som drivs av pengar och går ut på att angriparen behåller kontroll över offrets data så den kan ”ges tillbaka” mot betalning.
Angreppet mot Stryker var i stället ett rent sabotage, med en sorts skadligt program som brukar kallas ”wiper” eller förstörelsevirus. En liknande form av program hittades på ukrainska it-system strax före Rysslands invasion 2022.
Palo Alto Networks, ett amerikanskt cybersäkerhetsföretag, skriver till sina kunder att det finns ”en ökad risk för wiper-attacker relaterade till konflikten i Iran” och pekar ut Handala-gruppen som det främsta hotet.
År 2024 pekade Säkerhetspolisen ut Iran för en attack direkt riktad mot Sverige, sedan en SMS-tjänst hade blivit hackad och använts för massutskick av meddelanden som uppmanade till hämnd mot koranbrännare.
– Förundersökningen visar att det var den iranska staten via det iranska islamska revolutionsgardet, IRGC, som genomförde ett dataintrång hos ett svenskt företag som driver en större sms-tjänst, sa åklagare Mats Ljungqvist då.
DN har sökt Stryker via kontoret i Malmö utan framgång.

Facts Only

A hacking group named Handala, linked to Iran’s intelligence services, conducted a cyberattack on the medical technology company Stryker.
The attack destroyed several petabytes of data, described as the largest Iranian cyber operation in wartime.
Stryker, headquartered in Michigan, USA, has offices in Malmö and Lund, Sweden, and employs over 50,000 people globally.
The attack disrupted Stryker’s global network, prompting the company to advise employees against connecting to its systems.
Some U.S. hospitals temporarily shut down Stryker’s communication platform for emergency care due to the attack.
Handala presents itself as a politically motivated activist group but is identified by cybersecurity firms and Western intelligence as a front for Iran’s intelligence ministry.
The group claimed the attack was retaliation for a U.S. airstrike on a girls' school in Minab, Iran, which reportedly killed over 150 people, mostly children.
Handala operates openly, maintaining a blog and social media channels where it publicizes its attacks.
The group stated that 200,000 systems were destroyed and that Stryker offices in 79 countries were affected.
The attack used "wiper" malware, designed to permanently erase data, similar to malware used in Ukraine before Russia’s 2022 invasion.
Swedish security services have previously attributed cyberattacks to Iran, including a 2024 hack of an SMS service used to send threats related to Quran burnings.
The FBI and European security agencies have warned of increasing offensive cyber operations by Iran.

Executive Summary

A cyberattack attributed to an Iranian-linked hacking group, Handala, targeted the medical technology company Stryker, resulting in significant data destruction across its global network. The attack, described as the largest Iranian cyber operation in wartime, disrupted operations, including temporary shutdowns of communication platforms used by U.S. hospitals. Handala, presenting itself as politically motivated activists, is widely believed by cybersecurity firms and Western intelligence to be a front for Iran’s intelligence services. The group claimed the attack was retaliation for a U.S. airstrike on a girls' school in Iran, though the U.S. has not confirmed involvement. The incident highlights Iran’s growing cyber capabilities, which have been deployed against strategic targets in energy, defense, and healthcare sectors. Swedish authorities have previously linked Iran to cyber operations in Sweden, including a 2024 attack on an SMS service used to incite violence. The use of "wiper" malware—designed to permanently destroy data—distinguishes this attack from typical ransomware operations, signaling a shift toward more destructive cyber warfare tactics.

Full Take

**STEELMAN:** The narrative presents a compelling case for Iran’s escalating cyber warfare capabilities, backed by credible attributions from cybersecurity firms and intelligence agencies. The attack on Stryker is framed as a strategic retaliation, aligning with Iran’s pattern of targeting high-impact sectors like healthcare. The use of wiper malware underscores a shift from financial motives to outright sabotage, a tactic previously seen in state-sponsored conflicts. The inclusion of Swedish security concerns adds geopolitical weight, reinforcing the idea of Iran as a persistent cyber threat.
**PATTERN SCAN:** The article leans into emotional exploitation (ARC-0012) by highlighting the attack on a girls' school and the potential impact on healthcare systems, which could amplify fear and moral outrage. There’s also a subtle appeal to authority (ARC-0031) through citations of cybersecurity firms and intelligence agencies, which may lend uncritical credibility to the narrative. However, the piece avoids overt distortion or bad faith tactics, presenting multiple perspectives (e.g., Handala’s claims vs. Western attributions) without forcing a binary choice.
**ROOT CAUSE:** The paradigm here is state-sponsored cyber warfare as an extension of conventional conflict, where plausible deniability (via proxy groups like Handala) allows nations to project power without direct accountability. The unstated assumption is that cyberattacks are inherently asymmetric—smaller states like Iran can disproportionately disrupt larger adversaries. This echoes Cold War-era proxy conflicts but in a digital domain where attribution is fluid and collateral damage (e.g., healthcare disruptions) is harder to control.
**IMPLICATIONS:** For human agency, the normalization of destructive cyberattacks erodes trust in critical infrastructure, forcing individuals and institutions into reactive postures. The beneficiaries are likely state actors seeking to deter adversaries and cybersecurity firms selling mitigation services. The costs fall on civilians—patients, employees, and businesses caught in the crossfire. Second-order consequences include the potential for escalatory cycles, where each attack justifies retaliatory strikes, and the weaponization of ambiguity (e.g., activist facades for state operations) complicates diplomatic responses.
**BRIDGE QUESTIONS:**
How might the framing of Handala as "activists" rather than state actors influence public perception of cyber warfare’s legitimacy?
What evidence would change your assessment of Iran’s direct involvement in these attacks?
If wiper malware becomes a standard tool in geopolitical conflicts, what safeguards (if any) could protect civilian infrastructure?
**COUNTERSTRIKE SCAN:** A coordinated influence campaign would likely amplify the emotional angle (e.g., "Iran targets hospitals") while downplaying uncertainties (e.g., U.S. denial of the school bombing). It might also flood the discourse with speculative attributions to overwhelm critical analysis. This article, however, maintains a measured tone, presenting attributions as contested rather than definitive. No structural alignment with a hypothetical attack playbook is detected.

Sentinel — Human

Confidence

The article exhibits strong indicators of human authorship, including varied stylistic patterns, specific attributions, and contextual depth. No significant signals of synthetic generation were detected.

Signals Detected
low severity: Varied sentence length and structure, with some longer, complex sentences mixed with shorter declarative ones. No excessive hedging or mechanical transitions.
low severity: Presence of idiosyncratic details (e.g., specific references to 'Handala' group, 'Stryker' company, and 'Minab' bombing) and a clear narrative voice with occasional emphasis (e.g., 'den största från iranskt håll i krigstid någonsin').
low severity: Some vague attributions (e.g., 'enligt flera it-säkerhetsföretag') but also specific sources (e.g., 'Checkpoint', 'Palo Alto Networks', 'Säkerhetspolisen'). No obvious template matching or verbatim repetition.
low severity: Claims are attributed to named entities (e.g., 'Jen Easterly', 'Mats Ljungqvist') and include verifiable details (e.g., company locations, historical events). No obvious confabulation or overly convenient sourcing.
Human Indicators
Use of direct quotes and specific attributions to named individuals and organizations.
Inclusion of localized details (e.g., Stryker's operations in Malmö/Lund, Swedish Säkerhetspolisen statements).
Narrative flow with contextual digressions (e.g., explanation of 'wiper' attacks, comparison to Ukrainian cyber incidents).
Presence of minor stylistic quirks (e.g., repetition of 'fortfarande' in a single sentence, which is more typical of human error than AI generation).