18 декабря  кибератака нанесла ущерб автозаправочным станциям Ирана, что привело к появлению длинных очередей из автомобилей. Первоначально иранские официальные лица воздержались от подтверждения кибератаки. «Дефицита бензина или дизельного топлива нет, и повышение цен не стоит на повестке дня. Этот сбой является технической проблемой. Мы призываем людей, если они не нуждаются в бензине немедленно, воздержаться от посещения автозаправочных станций до тех пор, пока проблема не будет полностью решена», — заявил представитель отраслевой ассоциации. По данным информационного агентства «Тасним», связанного с КСИР, интеллектуальная топливная система, которой пользуется большинство автозаправочных станций в стране, была отключена в 9.40 утра. Джалил Салари, заместитель министра нефти, сказал, что около 60% заправочных станций испытывают перебои, позже увеличив это число до 90% в отдельном интервью: «Специальные команды работают по всей стране, и, вероятно, потребуется шесть-семь часов, чтобы заправочные станции вернулись к нормальной работе. К концу дня мы ожидаем полного восстановления». Министр нефти Джавад Оуджи заявил, что кибератака была попыткой врагов Ирана «причинить страдания», предположив, что Израиль и Соединенные Штаты осуществили ее в ответ на войну в Газе и связанные с ней региональные беспорядки: «Однако немедленная ручная активация заправочных станций началась после отключения системы. Поскольку сионистский враг и Америка получили удар на других фронтах, они хотели таким образом бросить вызов Ирану, но этот заговор будет сорван».

Позже группировка, называющая себя Predatory Sparrow («Хищный воробей»), взяла на себя ответственность за кибератаку. В X, бывшем Twitter, группа написала: «Мы, группа «Хищных воробьев», в очередной раз атаковали национальную систему снабжения топливом Исламской Республики Иран». В «Тасним» тут же вышел комментарий, в котором утверждалось, что группа связана с Израилем, и что аналогичный инцидент произошел в ноябре 2021 года. По данным информационного агентства, после той атаки были предприняты усилия по обеспечению безопасности операционной системы, используемой автозаправочными станциями. «Похоже, что Министерство нефти должно ответить, почему они не смогли создать необходимое сдерживание», — говорится в сообщении. Аналогичным образом, одна из крупнейших сталелитейных компаний Ирана заявила, что отразила кибератаку в июне прошлого года. Тогда ответственность  на себя  взяла та же самая группа , заявив, что это был ответ на «агрессию Исламской Республики».

Махди Мослехи, эксперт по сетевой безопасности, сообщил новостному сайту Entekhab, что причиной повторных атак была устаревшая кибер-инфраструктура. Он сказал, что хакерские группы легко используют слишком простые пароли и устаревшие операционные системы в некоторых правительственных системах. По словам эксперта и исследователя по кибербезопасности, иранские системы имеют многочисленные уязвимости из-за строгих ограничений властями свободного доступа людей к интернету и платформам социальных сетей. Он также указал, что многие ИТ-эксперты покинули страну в ответ на эти ограничения, и, как следствие, многие организации государственного и частного секторов столкнулись с проблемами безопасности. Другой ИТ-эксперт сказал MEE: «К сожалению, люди в правительственных департаментах информационной безопасности не обладают достаточным опытом и часто получают работу на основе своих личных контактов и знакомств. Высокопоставленным чиновникам и менеджерам не хватает навыков, когда дело доходит до кибербезопасности, и если правительство хочет лучшей защиты, оно должно начать увольнять своих топ-менеджеров в области безопасности данных. Наша инфраструктура остается недостаточно подготовленной, мы располагаем минимальными механизмами защиты, что приводит к серьезному ущербу во время атак. С 2010 года критические национальные инфраструктуры, особенно в нефтегазовом и энергетическом секторах, подвергаются регулярным нападениям. В последние годы произошли сложные и разрушительные атаки на транспорте и международной торговле. Если правительственные компании и организации не укрепят свою систему киберзащиты и не обратят внимания на эту проблему, они наверняка столкнутся с более разрушительными атаками». В этой связи иностранные эксперты отмечают, что проблема с иранской киберуязвимостью носит системный и хронический характер, что доказывалось не один раз успешными кибератаками на заводы по обогащению урана, ТЭС и другие ключевые объекты инфраструктуры. И нынешние атаки на автозаправки тоже не являются первыми в своем роде.  При этом иранцы  предприняли несколько попыток серьезно укрепить свой собственный сектор кибератак за границей и  сектор информационной безопасности у себя дома. Но в данном случае снова нужно вспомнить ему дефицита кадров: приоритет отдается военным и ядерным объектам в ущерб другой менее критической инфраструктуре. Поставленный перед необходимостью защиты своих стратегических объектов (израильские атаки через вирус  Stuxnet на ядерный комплекс в Натанзе), КСИР с 2021 года последовательно наращивает  свой киберпотенциал. В настоящее время к ним относятся несколько «батальонов» хакеров, в основном набранных из ведущих университетов, включая Университет Имама Хосейна, который находится под прямым контролем КСИР. «Народная киберпространственная сеть Исламской революции»  по сути является электронной армией Ирана. Возглавляемый Резой Саларвандсом из киберкомандования КСИР, эта группа теперь выглядит как настоящая третья армия наряду с КСИР и регулярной армией. Она входит в состав командования киберзащиты Генерального штаба армии, которое само является частью Высшего совета по киберпространству, который возглавляет Голам Реза Солеймани, специалист по ИТ в военизированных добровольческих силах «Бассидж». «Высший совет по киберпространству» (ВСК)  выполняет ряд различных функций, включая саботаж, шпионаж и так называемые психологические операции. Как убеждены американские и французские разведывательные источники, он получает технологическую помощь непосредственно от России, которая также оказывает помощь формирующейся кибергруппе сирийской армии. В частности, указывается на то, что основанная в Тегеране, компания Lotus Gostar Arya (или Cysec) в настоящее время работает из Казани и продолжает экспортировать через бывшего посла России в Иране Левона Джагаряна свои инструменты кибербезопасности в Иран в интересах «группы 35».  Это происходит в период общего расширения сотрудничества между Россией и Ираном по вопросам кибербезопасности.  ВСК также активизировал свою поддержку  кибергруппе ливанской «Хибаллы» которая стремительно развивается в оплоте организации в южных пригородах Бейрута.

Кибервойска Ирана состоит из небольших специализированных групп, каждая из которых выполняет свою особую роль. «Группа 39» отвечает за взлом компаний, представляющих интерес, особенно в Объединенных Арабских Эмиратах, Саудовской Аравии, Иордании и Израиле. «Группа 35» концентрируется на сборе разведданных об американских личностях и учреждениях, в то время как «Группа 34» работает конкретно по Саудовской Аравии. «Группа 33» нацелена на авиакомпании и региональные и международные органы промышленного регулирования, особенно в Южной Корее. При этом американцы отмечают, что, несмотря на все свои усилия, Иран пока не может купировать в полной мере кибератаки израильского подразделения 8200,  которому уже   удавалось в конце 2021 года  парализовать 4300 иранских автозаправочных станций. Теперь эта атака в меньшем объеме повторилась, что свидетельствует о том, что надлежащих уроков из того инцидента иранские власти не сделали.