Die iranische Gruppierung MuddyWater (auch bekannt als Seedworm) hat im ersten Quartal 2026 eine groß angelegte Spionagekampagne durchgeführt, von der laut Forschern von Symantec und Carbon Black mindestens neun Organisationen in neun Ländern auf vier Kontinenten betroffen waren. Zu den Zielen gehörten Unternehmen aus der industriellen und elektronischen Fertigung, Bildungs- und Regierungsorganisationen sowie Finanz- und professionelle Dienstleister. Das wesentliche Merkmal der Kampagne ist der Einsatz signierter legitimer Binärdateien zum Nachladen bösartiger Bibliotheken (DLL sideloading) und des offenen Tools ChromElevator zur Umgehung des Schutzes von Chromium-basierten Browsern. Organisationen, die in den genannten Sektoren tätig sind, sollten ihre Netzwerke umgehend auf die beschriebenen Indikatoren einer Kompromittierung überprüfen.
Opfer und geografische Verteilung der Angriffe
Wie im Bericht der Broadcom-Cybersecurity-Teams ausgeführt wird, zählt zu den bestätigten Opfern ein großer südkoreanischer Elektronikhersteller, in dessen Netzwerk sich die Angreifer vermutlich etwa eine Woche lang im Februar 2026 aufhielten. Ebenfalls betroffen waren ein internationaler Flughafen im Nahen Osten, Industrieunternehmen in Südostasien sowie ein Finanzdienstleister in Lateinamerika. Der initiale Angriffsvektor bei dem südkoreanischen Unternehmen ist weiterhin unbekannt.
Technische Angriffskette
DLL sideloading über signierte Binärdateien
Die Angreifer setzten intensiv auf die Technik des DLL sideloading mit zwei Paaren aus legitimen ausführbaren Dateien und bösartigen Bibliotheken:
- fmapp.exe (signierte Binärdatei von Fortemedia) lädt die bösartige Bibliothek fmapp.dll. Nach Angaben von Huntress enthält diese Bibliothek Code für die Verbindung zu einer von den Angreifern kontrollierten IP-Adresse
157.20.182[.]49. Die Verwendung dieses Paares wurde zuvor von Group-IB im Zusammenhang mit einer Operation unter dem Codenamen Operation Olalampo dokumentiert. - sentinelmemoryscanner.exe (Binärdatei im Zusammenhang mit einem Produkt von SentinelOne) lädt die bösartige Bibliothek sentinelagentcore.dll. Die Wahl einer Binärdatei eines Sicherheitsanbieters ist nach Einschätzung der Forscher bewusst erfolgt: Eine signierte Datei eines Security-Vendors wird mit höherer Wahrscheinlichkeit einer signaturbasierten Erkennung entgehen.
Diebstahl von Browserdaten über ChromElevator
Beide bösartigen Bibliotheken enthalten das integrierte Open-Source-Tool ChromElevator, das zum Extrahieren von Passwörtern, Cookies und Zahlungsdaten aus Chromium-basierten Browsern entwickelt wurde. Das Tool ist speziell dafür ausgelegt, den Mechanismus App-Bound Encryption (ABE) zu umgehen – einen Schutz, den Google eingeführt hat, um die unbefugte Entwendung von Browserdaten durch fremde Prozesse zu verhindern.
Implantat-Kette auf Basis von Node.js
Neben DLL sideloading nutzten die Angreifer eine Kette von Implantaten auf Basis von Node.js, um PowerShell-Skripte auszuführen, die folgende Aufgaben übernahmen:
- Aufklärung und Sammlung von Umgebungsinformationen
- Anfertigen von Screenshots
- Extraktion von Hashes aus der SAM-Registry
- Privilege Escalation
- Aufbau eines rückwärtigen SOCKS5-Proxy-Tunnels
In mindestens einem Fall wurden die entwendeten Daten auf dem öffentlichen File-Transfer-Dienst sendit[.]sh abgelegt. Die Angreifer führten außerdem Credential Dumps durch, um eine laterale Bewegung im Netzwerk zu ermöglichen.
Indikatoren einer Kompromittierung
- C2-IP-Adresse:
157.20.182[.]49 - Exfiltrationsdienst:
sendit[.]sh - Bösartige Bibliotheken:
fmapp.dll,sentinelagentcore.dll - Legitime Binärdateien, die für Sideloading verwendet werden:
fmapp.exe,sentinelmemoryscanner.exe
Weiterentwicklung der operativen Disziplin
Die Forscher heben ein charakteristisches Merkmal der Kampagne hervor: Die Aktivitäten der Angreifer traten schubweise auf, was darauf hindeutet, dass über Implantate gearbeitet wurde und kein permanenter Operator-Zugriff bestand. Im Fall des südkoreanischen Herstellers startete MuddyWater wiederholt Aufklärungsmaßnahmen über PowerShell und führte beide Binärdateien mehrfach erneut aus, um den Zugriff aufrechtzuerhalten.
Nach Einschätzung von Symantec und Carbon Black ist keine der verwendeten Techniken grundsätzlich neu, ihre Kombination weist jedoch auf eine deutlich verbesserte operative Hygiene im Vergleich zu dem hin, was über Seedworm vor zwei bis drei Jahren bekannt war. Die Gruppierung entwickelt sich in Richtung leiserer und disziplinierterer Operationen.
Parallele iranische Cyberoperationen
Parallel zur MuddyWater-Kampagne wird weitere Aktivität beobachtet, die iranischen Cyberakteuren zugeschrieben wird. Der Europäische Rat verhängte Sanktionen gegen das iranische Unternehmen Emennet Pasargad wegen des Hacks eines schwedischen SMS-Dienstes, des Zugriffs auf eine französische Abonnentendatenbank mit anschließender Angebotsstellung zum Verkauf sowie wegen der Verbreitung von Desinformation über kompromittierte Werbebillboards während der Olympischen Spiele 2024 in Paris. Laut US-Außenministerium ist das Unternehmen auch unter dem Namen Shahid Shushtari bekannt und mit dem Cyber-Electronic Command der IRGC (IRGC-CEC) verbunden.
Darüber hinaus wurde laut Analyse von Gambit Security im Zeitraum von Ende März bis Anfang April 2026 eine separate Kampagne zur Datenexfiltration registriert, die sich gegen Organisationen in den USA, Israel, Saudi-Arabien und der Türkei richtete. Mindestens zwei US-Einrichtungen waren von destruktiven Operationen betroffen – dem Löschen von Partitionen und Datensicherungen. Die Verantwortung für die Angriffe übernahm die pro-iranische Persona Ababil of Minab. In Fällen ohne destruktive Aktivitäten nutzten die Angreifer ein spezialisiertes Exfiltrationstool in C++ mit der internen Bezeichnung FileFiend, das in der Lage ist, lokale Laufwerke und SMB-Ressourcen aufzulisten, das Dateisystem zu durchlaufen und Dateien an einen fest definierten C2-Server zu senden.
Empfehlungen zum Schutz
- Monitoring von DLL sideloading: Richten Sie Erkennungsregeln für das Laden unsignierter oder ungewöhnlicher DLLs durch die Prozesse
fmapp.exeundsentinelmemoryscanner.exeein. Legitime Binärdateien sollten sich nicht außerhalb der standardmäßigen Installationsverzeichnisse befinden. - Blockierung von IOC: Fügen Sie die IP-Adresse
157.20.182[.]49und die Domainsendit[.]shin Blacklists auf Netzwerkperimeter- und EDR-Ebene ein. - Kontrolle von Node.js: Beschränken Sie die Ausführung von
node.exeauf Workstations und Servern, auf denen Node.js nicht für Geschäftsprozesse erforderlich ist. Überwachen Sie den Start von PowerShell aus Node.js-Prozessen heraus. - Schutz von Anmeldeinformationen: Aktivieren Sie Credential Guard auf Windows-Systemen, beschränken Sie den Zugriff auf die SAM-Registry und überwachen Sie Versuche, Anmeldeinformationen zu dumpen (Sysmon-Ereignisse ID 10 mit Zugriff auf lsass.exe).
- Audit von Browserdaten: Erwägen Sie die Einführung von Richtlinien, die das Speichern von Passwörtern und Zahlungsdaten in Browsern auf Unternehmensgeräten untersagen, und setzen Sie zentral verwaltete Passwortmanager ein.
- Netzwerksegmentierung: Begrenzen Sie laterale Bewegungen durch Mikrosegmentierung, insbesondere für Systeme mit Zugriff auf kritische Daten.
Die MuddyWater-Kampagne des ersten Quartals 2026 verdeutlicht einen nachhaltigen Trend: Die Gruppierung erfindet keine neuen Techniken, sondern kombiniert bekannte Methoden – DLL sideloading über signierte Binärdateien von Sicherheitsanbietern, offene Tools zur Umgehung von Browserschutzmechanismen, ein impulsbasiertes Präsenzmodell – zu einem disziplinierteren operativen Ansatz. Vorrangige Maßnahme für Verteidigungsteams ist die Überprüfung der Netzwerke auf die genannten Indikatoren einer Kompromittierung und die Implementierung von Erkennungsregeln für anomales DLL-Loading durch legitime signierte Prozesse, insbesondere in den Sektoren Fertigung, Bildung, Finanzwesen und öffentliche Verwaltung.
