How the Islamic Republic Tracks Starlink Users: A Technical Investigation جمهوری اسلامی چگونه کاربران استارلینک را ردیابی می‌کند: یک تحقیق فنی

The Claim ادعا

In late Esfand 1404 (mid-March 2026), a security warning circulated on social media platforms claiming that a large-scale operation to track and locate Starlink satellite internet terminals inside Iran was underway. The warning urged all Starlink users to immediately power down their devices for at least 48 hours and, if possible, remove the equipment from their homes. It claimed dozens of users had already been arrested. در اواخر اسفند ۲۵۸۴ (اواسط مارس ۲۰۲۶)، هشداری امنیتی در شبکه‌های اجتماعی منتشر شد مبنی بر اینکه عملیات گسترده‌ای برای ردیابی و شناسایی ترمینال‌های اینترنت ماهواره‌ای استارلینک در داخل ایران در جریان است. این هشدار از تمامی کاربران استارلینک می‌خواست فورا دستگاه‌های خود را دست‌کم به مدت ۴۸ ساعت خاموش کرده و در صورت امکان تجهیزات را از محل سکونت خود دور کنند. ادعا شده بود ده‌ها نفر از کاربران تاکنون بازداشت شده‌اند.

The reaction was deeply divided. Some dismissed the claim as technically impossible, arguing the Islamic Republic lacks the capability for such an operation. Others accused the warning of being a regime psychological operation designed to make users voluntarily cut their last independent communication lifeline. Counter-arguments ranged from technical dismissal to accusations of fearmongering. واکنش‌ها عمیقا دوقطبی بود. برخی ادعا را از نظر فنی ناممکن دانسته و استدلال کردند جمهوری اسلامی توانایی چنین عملیاتی را ندارد. برخی دیگر هشدار را عملیات روانی رژیم برای وادار کردن کاربران به قطع داوطلبانه آخرین شریان ارتباطی مستقلشان ارزیابی کردند. ادعاهای متقابل از رد فنی تا اتهام ترساندن عمدی متغیر بود.

Our assessment after cross-referencing Farsi, English, Russian, and Chinese-language sources: The warning was directionally correct. The Islamic Republic possesses confirmed multi-layered capabilities to detect Starlink terminals, and verified arrests have occurred across multiple provinces. However, the "massive nationwide operation" framing and the specific "48-hour" timeframe are better explained by the Chaharshanbe Suri timing analysis in Section 8 of this investigation. ارزیابی ما پس از بررسی متقابل منابع فارسی، انگلیسی، روسی و چینی: این هشدار از نظر جهت‌گیری درست بود. جمهوری اسلامی توانایی‌های چندلایه تایید شده‌ای برای شناسایی ترمینال‌های استارلینک دارد و بازداشت‌های تایید شده در چندین استان رخ داده است. با این حال، قالب‌بندی «عملیات گسترده سراسری» و بازه زمانی «۴۸ ساعت» با تحلیل زمانی چهارشنبه‌سوری در بخش هشتم این تحقیق بهتر توضیح داده می‌شود.

Geopolitical Context: The Blocked-by-Default Architecture بستر ژئوپلیتیک: معماری مسدودسازی پیش‌فرض

Since February 28, 2026 (9 Esfand 1404), coinciding with the start of joint US-Israeli military operations against the Islamic Republic, Iran entered its most severe digital blackout. Telemetry data from NetBlocks, Cloudflare, and Project IODA shows international internet access dropped to approximately 1 to 4 per cent of normal traffic volume, isolating a population of 92 million people. از ۹ اسفند ۲۵۸۴، مصادف با آغاز عملیات‌های نظامی مشترک آمریکا و اسرائیل علیه جمهوری اسلامی، ایران وارد شدیدترین دوره خاموشی دیجیتال خود شد. داده‌های نت‌بلاکس، کلودفلر و پروژه IODA نشان می‌دهد دسترسی به اینترنت بین‌الملل به حدود ۱ تا ۴ درصد حجم عادی سقوط کرد و جمعیتی ۹۲ میلیونی را در انزوای دیجیتال مطلق قرار داد.

What distinguishes this blackout from previous shutdowns (Aban 1398, Mahsa Amini protests) is the paradigm shift from "blanket shutdown" to a "blocked-by-default architecture." Based on Filterwatch reports, the National Information Network (NIN) remains active for banking, energy distribution, and government services. Meanwhile, global internet access has become a "security privilege" available only through "Pro Internet" plans and "White SIM cards" costing over 2 million tomans with mandatory security clearance. آنچه این قطعی را از نمونه‌های پیشین (آبان ۹۸ و اعتراضات مهسا امینی) متمایز می‌سازد، تغییر پارادایم از «قطع کورکورانه» به «معماری مسدودسازی پیش‌فرض» است. بر اساس گزارش‌های فیلترواچ، شبکه ملی اطلاعات (NIN) برای بانکداری، توزیع انرژی و خدمات دولتی فعال مانده. در عین حال، دسترسی به اینترنت جهانی به «امتیاز امنیتی» تبدیل شده که فقط از طریق طرح «اینترنت حرفه‌ای» و «سیم‌کارت‌های سفید» با قیمت بیش از دو میلیون تومان و احراز هویت امنیتی اجباری در دسترس است.

In this environment, an estimated 50,000 smuggled Starlink terminals operated inside Iran before the crisis. The US secretly funded the smuggling of an additional 6,000 terminals in January 2026 (WSJ exclusive). These terminals became the only communication nodes outside regime control, capable of transmitting images of crackdowns to the outside world. For the Islamic Republic's intelligence apparatus, this represented an existential threat: tens of thousands of independent communication nodes that could coordinate urban protests, share coordinates, exchange information with foreign media, and undermine the regime's narrative monopoly. در این محیط، تخمین زده می‌شود حدود ۵۰ هزار پایانه قاچاق استارلینک پیش از بحران در ایران فعال بودند. دولت آمریکا در ژانویه ۲۰۲۶ بودجه قاچاق ۶ هزار پایانه اضافی را تامین کرد (گزارش انحصاری وال استریت ژورنال). این پایانه‌ها تنها گره‌های ارتباطی خارج از کنترل رژیم شدند که قادر به ارسال تصاویر سرکوب به جهان خارج بودند. برای ساختار اطلاعاتی جمهوری اسلامی، وجود ده‌ها هزار گره ارتباطی مستقل که می‌توانند اعتراضات شهری را هماهنگ کنند، مختصات مبادله کنند، و انحصار روایت رسمی را بشکنند، یک تهدید موجودیتی غیرقابل تحمل بود.

Indicatorشاخص	Aban 1398 Shutdownقطعی آبان ۹۸	Esfand 1404 Architectureمعماری اسفند ۲۵۸۴
Natureماهیت	Blanket kill of all protocolsقطع کورکورانه سراسری	Selective blocking, NIN preservedقطع گزینشی، حفظ NIN
Tiered accessدسترسی طبقاتی	Noneعدم وجود	Pro Internet + White SIM cardsاینترنت حرفه‌ای + سیم‌کارت سفید
Circumvention responseواکنش به دور زدن	Technical blocking of ports/IPsمسدودسازی فنی پورت‌ها	Criminalised: POLICE SMS threats, prosecutionجرم‌انگاری: پیامک تهدید POLICE، پیگرد قضایی
Satellite internet roleنقش اینترنت ماهواره‌ای	Negligible presenceحضور ناچیز	50,000+ terminals: sole uncontrollable lifelineبیش از ۵۰ هزار پایانه: تنها شریان غیرقابل کنترل
Threat perceptionسطح تهدید	Human rights documentation toolابزار مستندسازی حقوق بشر	Existential military-grade threatتهدید موجودیتی سطح نظامی

Psychological Analysis: Threat Normalisation and Technological Ignorance NEW تحلیل روان‌شناختی: سندرم عادی‌سازی تهدید و جهل تکنولوژیک

Analysis of public reactions to the warning reveals a complex psychosocial phenomenon in a society under constant security pressure: a combination of Threat Normalisation Syndrome, technological ignorance (Dunning-Kruger effect), and the destructive impact of the regime's psychological operations. Three categories emerged: تحلیل واکنش‌های عمومی به این هشدار یک پدیده روان‌شناختی-اجتماعی پیچیده را در جامعه‌ای تحت فشار مستمر امنیتی آشکار می‌سازد: ترکیبی از سندرم عادی‌سازی تهدید، جهل تکنولوژیک (اثر دانینگ-کروگر) و تاثیرات مخرب عملیات روانی رژیم. سه دسته واکنش مشاهده شد:

1. Absolute denial: A prevalent view held that the Islamic Republic's bureaucratic dysfunction makes large-scale RF tracking operations impossible. This reflects dangerous underestimation. While Iran's macro-economy is crippled by sanctions, parallel security structures (IRGC Intelligence, MOIS) have always maintained unlimited budgets and access to dual-use technology imported from Russia and China. ۱. انکار مطلق: دیدگاه رایجی وجود داشت که ناکارآمدی بوروکراتیک جمهوری اسلامی عملیات ردیابی RF در مقیاس بزرگ را ناممکن می‌سازد. این بازتاب دست‌کم گرفتن خطرناک است. اگرچه اقتصاد کلان ایران فلج است، ساختارهای موازی امنیتی نظیر سازمان اطلاعات سپاه همواره به بودجه‌های نامحدود و فناوری‌های دوگانه وارداتی از روسیه و چین دسترسی داشته‌اند.

2. False cyber-optimism: Others argued that simply changing WiFi network names or using VPNs makes detection impossible. This is textbook Dunning-Kruger. While hiding the SSID is a basic step, SpaceX hardware MAC addresses are fixed in the physical layer. Tools like airodump-ng can detect Starlink-specific hardware by sniffing unencrypted 802.11 management frames, even with hidden SSIDs. ۲. خوش‌بینی کاذب سایبری: عده‌ای استدلال کردند صرف تغییر نام شبکه وای‌فای یا استفاده از VPN شناسایی را ناممکن می‌سازد. این مصداق بارز اثر دانینگ-کروگر است. اگرچه پنهان کردن SSID اقدامی اولیه است، آدرس MAC سخت‌افزار اسپیس‌ایکس در لایه فیزیکی ثابت است. ابزارهایی نظیر airodump-ng با شنود فریم‌های مدیریتی رمزنگاری‌نشده پروتکل ۸۰۲.۱۱ می‌توانند حضور سخت‌افزار استارلینک را اثبات کنند.

3. Distrust and accusation: A third group accused the warning itself of being a regime operation designed to silence the last independent communication channel. This represents the most concerning outcome of the Islamic Republic's long-running PsyOps campaign: cognitive confusion so deep that citizens cannot distinguish genuine security warnings from deception operations. ۳. بی‌اعتمادی و اتهام‌زنی: گروه سومی خود هشدار را عملیات رژیم برای خاموش کردن آخرین کانال ارتباطی مستقل ارزیابی کردند. این نگران‌کننده‌ترین نتیجه عملیات روانی بلندمدت جمهوری اسلامی است: سردرگمی شناختی چنان عمیق که شهروندان نمی‌توانند هشدارهای معتبر امنیتی را از عملیات فریب تشخیص دهند.

The Kill Chain: Seven Attack Vectors زنجیره ترور: هفت بردار حمله

Contrary to public assumption, the Starlink neutralisation operation is not a single technology. It is a hybrid, multi-layered kill chain combining RF, GPS, network, application, WiFi, platform, and physical vectors. برخلاف تصور عمومی، عملیات خنثی‌سازی استارلینک متکی بر یک فناوری واحد نیست. بلکه یک زنجیره ترور هیبریدی چندلایه است که بردارهای RF، GPS، شبکه، اپلیکیشن، وای‌فای، پلتفرم و فیزیکی را ترکیب می‌کند.

The Hidden Front: Cyber Espionage, IP Leaks, and Dindoor Malware NEW جبهه پنهان: جاسوسی سایبری، نشت IP و بدافزار Dindoor

The biggest blind spot in public analysis is reducing the tracking problem to RF detection. The most dangerous, hidden, and effective method is systematic exploitation of cyber vulnerabilities and data leakage. بزرگ‌ترین نقطه کور در تحلیل‌های عمومی، تقلیل مسئله ردیابی به شناسایی امواج رادیویی است. خطرناک‌ترین، پنهان‌ترین و کارآمدترین روش، بهره‌برداری سیستماتیک از آسیب‌پذیری‌های سایبری و نشت داده‌ها است.

According to March 2026 reports from Check Point, Symantec, and Blackpoint Cyber, state-linked hacking groups MuddyWater (aka Seedworm, MOIS-affiliated) and Handala (linked to MOIS) have been routing their operational traffic through SpaceX/Starlink IP ranges. This means the regime's own cyber units are using Starlink internally, which proves they monitor Starlink IP ranges in real-time. بر اساس گزارش‌های مارس ۲۰۲۶ از چک پوینت، سیمنتک و بلک‌پوینت سایبر، گروه‌های هکری دولتی مادی واتر (وابسته به وزارت اطلاعات) و هندله (مرتبط با وزارت اطلاعات) ترافیک عملیاتی خود را از طریق رنج‌های IP اسپیس‌ایکس/استارلینک هدایت کرده‌اند. این بدان معناست که واحدهای سایبری خود رژیم از استارلینک در داخل استفاده می‌کنند، که ثابت می‌کند رنج‌های IP استارلینک را در زمان واقعی رصد می‌کنند.

Additionally, security reports from late Bahman to mid-Esfand 1404 revealed deployment of advanced espionage malware: Dindoor (built on Deno JavaScript runtime, signed with a certificate issued to "Amy Cherne") and FakeSet (Python-based backdoor, certificate: "Donald Gay"). Both can infiltrate Starlink-connected networks, act as digital beacons, and exfiltrate positional data, communication logs, and personal files via Rclone to C2 servers including MuddyC3 and PhonyC2. Sources: The Hacker News, Symantec, The Register, Infosecurity Magazine. همچنین، گزارش‌های امنیتی از اواخر بهمن تا اواسط اسفند ۲۵۸۴ از استقرار بدافزارهای جاسوسی پیشرفته پرده برداشتند: Dindoor (ساخته شده بر پایه محیط اجرایی Deno جاوا اسکریپت) و FakeSet (درب‌پشتی مبتنی بر پایتون). هر دو می‌توانند به شبکه‌های متصل به استارلینک نفوذ کنند، به عنوان فانوس دریایی دیجیتال عمل کنند و داده‌های موقعیتی، لاگ‌های ارتباطی و فایل‌های شخصی را از طریق Rclone به سرورهای فرماندهی و کنترل از جمله MuddyC3 و PhonyC2 استخراج کنند. منابع: هکر نیوز، سیمنتک، رجیستر، اینفوسکیوریتی مگزین.

The Supply Chain: Who Builds Iran's Surveillance Arsenal زنجیره تامین: چه کسانی زرادخانه نظارتی ایران را می‌سازند

Layerلایه	Companyشرکت	Countryکشور	Roleنقش	Statusوضعیت
RF Detectionشناسایی RF	Shoghi Comm.	Indiaهند	SCL-3412 C/Ku-band satellite monitoringنظارت ماهواره‌ای باند C/Ku	70+ countriesبیش از ۷۰ کشور
EWجنگ الکترونیک	Cobra V8	Iranایران	Intercept, analyse, jamرهگیری، تحلیل، اختلال	CONFIRMEDتایید شده
EWجنگ الکترونیک	Kalinka	Russiaروسیه	"Starlink Killer"«قاتل استارلینک»	ALLEGEDادعایی
DPIبازرسی عمیق	Protei	Russia/Jordanروسیه/اردن	SORM, DPI, legal interceptSORM، DPI، شنود قانونی	Citizen Labسیتیزن لب
DPIبازرسی عمیق	Yaftar / Doran	Iranایران	Starlink traffic fingerprintingاثرانگشت ترافیک استارلینک	Filterwatchفیلتر واچ
Telecomمخابرات	ZTE	Chinaچین	Full telecom surveillance to TCIنظارت مخابراتی کامل TCI	CONFIRMEDتایید شده
Camerasدوربین‌ها	Hikvision/Dahua/Tiandy	Chinaچین	Facial recognition, crowd detectionتشخیص چهره، شناسایی جمعیت	Tehran Bureauتهران بیورو
Interceptشنود	PortaOne	Canadaکانادا	Legal intercept integrationیکپارچه‌سازی شنود قانونی	Citizen Labسیتیزن لب
Satellitesماهواره	Jilin-1 / Khayyam	China/Russiaچین/روسیه	SIGINT, high-res imageryاطلاعات سیگنالی، تصاویر	CONFIRMEDتایید شده
Malwareبدافزار	MuddyWater/Handala	Iran (state)ایران (دولتی)	Dindoor + FakeSet backdoorsدرب‌پشتی‌های Dindoor و FakeSet	Symantec/Check Pointسیمنتک/چک پوینت

Field Evidence: Arrests Across the Country مستندات میدانی: موج بازداشت‌ها در سراسر کشور

Cross-referencing Iranian state media (ISNA, Tasnim, Mehr), police commander statements, and international human rights reports from Dey to 25 Esfand 1404 reveals a nationwide operation far exceeding the "dozens arrested" claim in the original warning: تقاطع‌گیری اخبار رسانه‌های داخلی (ایسنا، تسنیم، مهر)، بیانیه‌های فرماندهان انتظامی و گزارش‌های نهادهای بین‌المللی حقوق بشری از دی تا ۲۵ اسفند ۲۵۸۴ عملیاتی سراسری را آشکار می‌سازد که بسیار فراتر از ادعای «ده‌ها بازداشت» در هشدار اولیه است:

• Tehran: 14 citizens arrested in a villa raid for collective Starlink use. Charges included "espionage for Israel," "cooperation with hostile media," and "smuggling" (referring to Starlink equipment). Families could not locate detainees in Evin, Fashafuyeh, or Qarchak prisons. (Iran International)تهران: ۱۴ شهروند در یورش به ویلایی به دلیل استفاده جمعی از استارلینک بازداشت شدند. اتهامات شامل «جاسوسی برای اسرائیل»، «همکاری با رسانه‌های معاند» و «قاچاق کالا» بود. خانواده‌ها نتوانستند بازداشت‌شدگان را در اوین، فشافویه یا قرچک پیدا کنند. (ایران اینترنشنال)
• Qom: 13 arrested with 3 active Starlink devices. Starlink penetrating the ideological heartland alarmed the security establishment. (Mehr News, Tabnak)قم: ۱۳ نفر با ۳ دستگاه فعال استارلینک بازداشت شدند. نفوذ استارلینک به قلب ایدئولوژیک حاکمیت زنگ خطری برای سیستم امنیتی بود. (خبرگزاری مهر، تابناک)
• Hormozgan: 54 satellite internet terminals seized in a single shipment. Focus on blinding maritime smuggling routes from Persian Gulf ports. (Police statement)هرمزگان: ۵۴ پایانه اینترنت ماهواره‌ای در یک محموله واحد کشف شد. تمرکز بر کور کردن مسیرهای قاچاق دریایی. (بیانیه پلیس)
• Fars: 37-year-old arrested as "head of the main Starlink distribution network in Shiraz" covering multiple provinces. Strategy shift: targeting distributors, not individual users. (Sardar Malekzadeh, Fars police commander, March 13)فارس: مرد ۳۷ ساله به عنوان «سرشبکه اصلی توزیع استارلینک در شیراز» دستگیر شد. تغییر استراتژی: هدف‌گذاری توزیع‌کنندگان به جای کاربران منفرد. (سردار ملک‌زاده، ۲۲ اسفند)
• Kerman, Khorasan Razavi, Hamedan: 10-person cells arrested in Khorasan and Mazandaran for "sensitive data transfer." 14 arrested in Kerman for "creating chaos." 8 arrested in Hamedan for "photographing military sites." (Multiple state media)کرمان، خراسان رضوی، همدان: سلول‌های ده نفره در خراسان و مازندران به اتهام «انتقال داده‌های حساس» بازداشت شدند. ۱۴ نفر در کرمان و ۸ نفر در همدان به اتهام «تصویربرداری از اماکن نظامی» بازداشت شدند.

The 48-Hour Mystery: Chaharshanbe Suri Timing NEW معمای ۴۸ ساعت: تقاطع با بحران چهارشنبه‌سوری

The most puzzling aspect of the warning was the specific "48 hours" timeframe. Some mocked it: "Turn them off and move them from your house? Does it emit radiation?" The answer requires understanding the Islamic Republic's "preemptive strike" doctrine against potential unrest. مناقشه‌برانگیزترین جنبه هشدار، تعیین بازه زمانی «۴۸ ساعت» بود. برخی تمسخر کردند: «یعنی چی خاموش کنید و از محل زندگی دور کنید؟ مگه رادیواکتیو پخش می‌کنه؟» پاسخ نیازمند درک دکترین «اقدامات پیش‌دستانه» جمهوری اسلامی علیه ناآرامی‌های احتمالی است.

The warning was published on Sunday, March 15 (24 Esfand 1404). The "at least 48 hours" covers Monday 25 Esfand and Tuesday 26 Esfand. Tuesday night is Chaharshanbe Suri, the ancient Iranian fire festival that the security establishment treats as a "Level 1 security threat" with the potential to spark coordinated urban uprisings. هشدار یکشنبه ۲۴ اسفند منتشر شد. بازه «دست‌کم ۴۸ ساعته» دقیقا دوشنبه ۲۵ و سه‌شنبه ۲۶ اسفند را پوشش می‌دهد. سه‌شنبه شب، مراسم باستانی چهارشنبه‌سوری است که نهادهای امنیتی آن را نه جشن فرهنگی بلکه «تهدید امنیتی سطح یک» با پتانسیل جرقه‌زدن شورش‌های هماهنگ شهری ارزیابی می‌کنند.

Historical precedent proves that coordination, neighbourhood-level organisation, and protest mobilisation on Chaharshanbe Suri night depend absolutely on free information flow. With all conventional internet under regime control since 9 Esfand, the only remaining tool for civil activists to organise, coordinate with foreign media, and stream live footage is the Starlink network. The regime's strategy was therefore a preemptive doctrine: destroy communication nodes before unrest begins. The 48-72 hour window before Chaharshanbe Suri is when RF scanning, cyber sweeps, and physical raids reach peak intensity. سوابق تاریخی ثابت کرده هماهنگی، سازمان‌دهی محله‌محور و فراخوان تجمعات اعتراضی شب چهارشنبه‌سوری وابستگی مطلقی به جریان آزاد اطلاعات دارد. از آنجا که تمام اینترنت معمولی از ۹ اسفند تحت کنترل رژیم بود، تنها ابزار باقیمانده برای فعالان مدنی شبکه استارلینک بود. استراتژی حاکمیت بنابراین یک دکترین پیش‌دستانه بود: انهدام گره‌های ارتباطی پیش از آغاز ناآرامی. بازه ۴۸ تا ۷۲ ساعت قبل از چهارشنبه‌سوری زمانی است که اسکن‌های رادیویی، گشت‌زنی‌های سایبری و یورش‌های فیزیکی به اوج شدت می‌رسند.

This calendar alignment raises a critical question that this investigation cannot definitively resolve: was the warning a genuine defensive measure, or did it itself become part of the regime's objective? این تطابق تقویمی پرسش مهمی را مطرح می‌کند که این تحقیق قادر به پاسخ قطعی آن نیست: آیا هشدار یک اقدام دفاعی واقعی بود، یا خود به بخشی از هدف رژیم تبدیل شد؟

Conclusion: Three Scenarios نتیجه‌گیری: سه سناریو

This investigation confirmed that the Islamic Republic possesses real, documented capabilities to detect Starlink terminals through multiple vectors. Arrests have occurred across multiple provinces. The technical threat is not fictional. However, the scale, coordination, and timing of the warning demand consideration of multiple interpretive frameworks rather than a single verdict: این تحقیق تایید کرد که جمهوری اسلامی توانایی‌های واقعی و مستند برای شناسایی ترمینال‌های استارلینک از طریق بردارهای متعدد دارد. بازداشت‌ها در چندین استان رخ داده. تهدید فنی خیالی نیست. با این حال، مقیاس، هماهنگی و زمان‌بندی هشدار نیازمند بررسی چارچوب‌های تفسیری متعدد است، نه یک حکم واحد:

The irreducible fact remains: whether the regime can track every terminal or merely makes people believe it can, the operational outcome is identical. Communication networks fall silent at precisely the moment when coordination matters most. This is the architecture of digital suppression: the weapon is not always the scanner, sometimes the weapon is the fear of the scanner. واقعیت تقلیل‌ناپذیر باقی می‌ماند: فرقی ندارد رژیم واقعا می‌تواند هر ترمینال را ردیابی کند یا صرفا مردم را به این باور می‌رساند. نتیجه عملیاتی یکسان است. شبکه‌های ارتباطی دقیقا در لحظه‌ای که هماهنگی بیشترین اهمیت را دارد ساکت می‌شوند. این معماری سرکوب دیجیتال است: سلاح همیشه اسکنر نیست، گاهی سلاح ترس از اسکنر است.

Legal Framework: Severe Penalties چارچوب قانونی: مجازات‌های سنگین

Tierسطح	Offenceجرم	Penaltyمجازات
1	Possession for personal useنگهداری برای استفاده شخصی	6 months to 2 years + seizure۶ ماه تا ۲ سال + مصادره
2	Import, distribution, installationواردات، توزیع، نصب	2 to 5 years۲ تا ۵ سال
3	"Acting against the system" / serving hostile actors«اقدام علیه نظام» / همکاری با عوامل متخاصم	Severest penalties under lawشدیدترین مجازات‌های قانونی

The law names Starlink by brand. Prosecutors decide which tier based on how they characterise intent. Source: Raaznet.این قانون استارلینک را با نام تجاری ذکر کرده. دادستان‌ها بر اساس نحوه توصیف نیت، سطح مجازات را تعیین می‌کنند. منبع: راآزنت.

What We Could Not Confirm آنچه نتوانستیم تایید کنیم

• Russian Kalinka in Iran — Originated from pro-Russian Telegram "Strong Iran." Amplified with hedging language. No official confirmation.سیستم کالینکا روسیه در ایران — منشاء: کانال تلگرامی «ایران قوی». بدون تایید رسمی.
• Krasukha-4 in Iran — Source headline was a question: "Is Krasukha Behind It?"کراسوخا-۴ در ایران — عنوان منبع یک سوال بود، نه تاییدیه.
• "Dozens arrested" on March 15 specifically — Individual arrests confirmed; coordinated single-day mass operation unverified by Tier 1-2.«ده‌ها بازداشت» در ۲۵ اسفند — بازداشت‌های منفرد تایید شده؛ عملیات هماهنگ یک‌روزه توسط منابع معتبر تایید نشده.
• Chinese satellites tracking individual terminals — China provides general SIGINT to Iran; no source links this to consumer Starlink detection.ماهواره‌های چین برای ردیابی ترمینال‌ها — چین اطلاعات سیگنالی عمومی ارائه می‌دهد؛ هیچ منبعی این را به شناسایی استارلینک مرتبط نمی‌کند.
• "Sepehr" tactical jammer — Mentioned in Gemini analysis; not independently verified in our searches.سامانه تاکتیکی «سپهر» — در منابع مستقل ما تایید نشده.

Practical Guidance for Starlink Users in Iran راهنمای عملی برای کاربران استارلینک در ایران

• Radio silence during peak scanning: Complete power-off (unplug from mains) during credible warnings or sensitive calendar dates. This is the only guaranteed defence against RF detection.سکوت رادیویی در زمان اوج اسکن: خاموشی کامل (جدا کردن از برق) در زمان هشدارهای معتبر یا تاریخ‌های حساس تقویمی. این تنها دفاع قطعی در برابر شناسایی RF است.
• Cyber decoupling: NEVER use Starlink to access Iranian banking apps, government services, or domestic messaging platforms. Your national ID instantly links to a SpaceX IP. Install hardware VPN with kill-switch on the router before sharing internet to any device.قرنطینه سایبری: هرگز از استارلینک برای اپلیکیشن بانکی ایرانی، خدمات دولتی یا پیام‌رسان داخلی استفاده نکنید. شناسه ملی شما فورا به IP اسپیس‌ایکس مرتبط می‌شود. VPN سخت‌افزاری با قطع خودکار روی روتر نصب کنید.
• RF footprint reduction: Conceal dish from visual and thermal detection. Hiding SSID is not enough: reduce WiFi Tx Power to minimum in router settings. Enclose router in concrete walls without windows to prevent lateral signal escape to streets.کاهش شعاع رهگیری: دیش را از دید بصری و حرارتی پنهان کنید. پنهان کردن SSID کافی نیست: توان خروجی وای‌فای را در تنظیمات روتر به حداقل کاهش دهید. روتر را در میان دیوارهای بتنی بدون پنجره قرار دهید.
• App hygiene: Download ONLY from official sources. Never install Starlink-related apps from Telegram groups. These are confirmed regime honeypots.بهداشت اپلیکیشن: فقط از منابع رسمی دانلود کنید. هرگز اپلیکیشن‌های مرتبط با استارلینک را از گروه‌های تلگرامی نصب نکنید. اینها تله‌های تایید شده رژیم هستند.
• Understand the limits: Turning off the terminal eliminates the RF signature. It does NOT erase data already collected through fake apps, IP leaks, or malware infections.محدودیت‌ها را درک کنید: خاموش کردن ترمینال امضای RF را حذف می‌کند. اما داده‌هایی که قبلا از طریق اپلیکیشن‌های جعلی، نشت IP یا آلودگی بدافزار جمع‌آوری شده را پاک نمی‌کند.