חוקרי סייבר ישראלים חשפו כי מה שנראה במשך שנים כקבוצת האקרים פלילית שפעלה למטרות רווח - תקיפת מאות ארגונים, דרישת כופר ומכירת כלים זדוניים - הוא למעשה זרוע תקיפה ומימון של ארגון הטרור חיזבאללה.
לפי המחקר, ההאקרים הסוו את פעילותם האידיאולוגית תחת מעטה של פשיעה דיגיטלית רגילה, והפעילים עבדו בחברות אזרחיות מבלי לעורר חשד. במרכז החשיפה: סטודנט צעיר מלבנון, שכיהן כמתכנת בחברות טכנולוגיה ובמקביל ניהל רשת תקיפות עבור חיזבאללה.
המחקר נערך על ידי חברת הסייבר הישראלית DOS-OP ומרכז עלמא לחקר האתגרים הביטחוניים בזירה הצפונית, ומצביע על כרים פיאד, צעיר מדרום לבנון בשנות ה־20 לחייו, כמנהל רשת נוזקת הכופר BQTLock.
לפי החוקרים, פיאד וקבוצתו פעלו במתווה פלילי מובהק שכלל גניבת כספים, דרישת כופר ומכירת כלי תקיפה - מודל המכונה "כופרה כשירות". אך לטענת המחקר, מאחורי פעילות הסייבר הפלילית התנהלה מערכת מתואמת עם מערך הסייבר של חיזבאללה, ששימשה גם לצורכי מימון וגם להשגת מטרות אידאולוגיות. קבוצתו של פיאד הצליחה להצפין למעלה מ־540 שרתים ברחבי העולם ולגנוב מידע רגיש בהיקפים נרחבים.
פיאד, סטודנט להנדסת מחשבים באוניברסיטה האמריקאית בביירות, עבד במקביל בחברות הייטק אזרחיות והתמחה בפיתוח מערכות בינה מלאכותית. החוקרים מציינים כי מאחורי פעילות אזרחית זו התנהלו "חיים כפולים": פיאד היה פעיל בצופי האימאם אל-מהדי, זרוע הנוער של חיזבאללה, והשתמש בכלים המקצועיים שלמד כדי להניע רשת תקיפות בינלאומית עבור הארגון.
לפי המחקר, הקבוצה תקפה גם תשתיות בישראל, בהן נתב"ג, בזק ופרטנר, ונטלה אחריות על תקיפות של חברות ביטחוניות, אף שחוקרי הסייבר מטילים ספק בחלק מהטענות האחרונות. מחוץ לישראל תקפה הקבוצה מערכות רפואיות בהודו, שרתי כרייה בסעודיה ובתי ספר באיחוד האמירויות.
לדברי טל בארי, מנהל המחקר במרכז עלמא, המשמעות החמורה של החשיפה היא בכך ש"מתקפות הכופרה אינן רק פשיעה דיגיטלית אלא חלק ממערך שמחבר בין אינטרסים ביטחוניים, אידיאולוגיים וכלכליים".