Eine mutmaßlich mit dem Iran verbundene Hackergruppe mit der Bezeichnung Dust Specter führt nach Erkenntnissen von Zscaler ThreatLabz eine gezielte Cyberspionage-Kampagne gegen irakische Regierungsmitarbeiter durch. Die Angreifer tarnen sich als irakisches Außenministerium, nutzen kompromittierte staatliche Infrastruktur und setzen mehrere bislang unbekannte .NET‑Backdoors ein: SPLITDROP, TWINTASK, TWINTALK und GHOSTFORM.
Zielgerichtete Angriffe auf irakische Behörden mit gefälschter Ministeriumsidentität
Die aktuell beobachtete Kampagne richtet sich vor allem gegen Beamte und Mitarbeiter irakischer Ministerien. Dust Specter verschickt täuschend echte Phishing-E-Mails und Dokumente, die wie offizielle Mitteilungen des Außenministeriums gestaltet sind. Zusätzlich werden bereits kompromittierte Server irakischer Behörden genutzt, um Schadsoftware bereitzustellen. Dadurch wirkt der Netzwerkverkehr legitim und wird von klassischen Filtermechanismen deutlich schlechter erkannt.
Die Command-and-Control-Server (C2) der Gruppe nutzen Geofencing und User-Agent-Checks, sodass nur Systeme aus definierten Regionen und mit bestimmten Client-Merkmalen mit dem C2 kommunizieren können. Zufällig generierte URI-Pfade mit Prüfsummen erschweren eine Blockierung über URL-Muster zusätzlich – ein typisches Beispiel für die kontinuierliche Verfeinerung von Evasion-Techniken im Sinne des MITRE-ATT&CK-Frameworks.
Erste Infektionskette: SPLITDROP, TWINTASK und TWINTALK im Zusammenspiel
Passwortgeschützte Archive und DLL Side-Loading als Tarnmechanismen
Die ältere Infektionskette beginnt mit einem passwortgeschützten RAR-Archiv, das häufig über Spear-Phishing verteilt wird. Im Archiv befindet sich der .NET-Dropper SPLITDROP, der die Module TWINTASK und TWINTALK auf dem System platziert.
TWINTASK wird als manipulierte Bibliothek libvlc.dll über DLL Side-Loading von der legitimen Anwendung vlc.exe geladen. Dieser Ansatz missbraucht das Vertrauen in signierte Software und wird von vielen Advanced Persistent Threats (APT) eingesetzt. TWINTASK überwacht alle 15 Sekunden die Datei C:\ProgramData\PolGuid\in.txt auf neue Befehle, führt diese per PowerShell aus und speichert Ergebnisse sowie Fehler in out.txt. Zu den Befehlen gehören auch Persistenzmechanismen über Registry-Änderungen – analog zu den MITRE-Techniken Scheduled Task/Job und Boot or Logon Autostart.
Beim ersten Start initiiert TWINTASK ein weiteres legitimes Programm aus dem Archiv, WingetUI.exe, das wiederum die DLL TWINTALK (hostfxr.dll) lädt. TWINTALK fungiert als zentrale C2-Steuerung, kommuniziert mit dem Kontrollserver, übergibt Anweisungen über Dateien an TWINTASK und sendet die Ausgabedaten zurück. Ergänzend verfügt TWINTALK über Funktionen zum Up- und Download von Dateien.
Um Erkennung durch Netzwerk-Forensik zu erschweren, arbeitet TWINTALK mit einem Beaconing-Zyklus mit pseudozufälligen Verzögerungen. Dadurch werden zeitliche Muster im Datenverkehr verschleiert, was Korrelation und Anomalieerkennung in SIEM- und NDR-Lösungen deutlich erschwert.
GHOSTFORM: Konsolidierte Backdoor mit fileloser PowerShell-Ausführung
In einer zweiten, weiterentwickelten Infektionskette vereint Dust Specter die Funktionen von TWINTASK und TWINTALK in der neuen .NET‑Backdoor GHOSTFORM. Anstatt Befehle und Ergebnisse auf der Festplatte zwischenzuspeichern, setzt GHOSTFORM konsequent auf filelose PowerShell-Skripte in der Arbeitsspeicher-Ausführung. Solche Techniken umgehen signaturbasierte Schutzmechanismen klassischer Antivirensoftware weitgehend und erfordern verhaltensbasierte EDR/XDR-Lösungen, um verdächtige PowerShell-Aufrufe und Speicheranomalien zu erkennen.
Google Forms als glaubwürdige Phishing-Kulisse
Auffällig ist, dass einige GHOSTFORM-Varianten nach erfolgreicher Infektion automatisch einen Google-Forms-Link im Browser öffnen. Das Formular ist auf Arabisch gestaltet und imitiert einen offiziellen Fragebogen des irakischen Außenministeriums. Damit wird die Täuschung vertieft und gleichzeitig die Möglichkeit geschaffen, zusätzliche Informationen direkt von den Opfern zu erfragen – ein Beispiel für die Kombination aus technischer Kompromittierung und Social Engineering.
Social Engineering im ClickFix-Stil und wiederverwendete Infrastruktur
Die Analyse der Infrastruktur zeigt, dass die von TWINTALK verwendete Domain meetingapp[.]site bereits in einer Kampagne im Juli 2025 durch Dust Specter eingesetzt wurde. Damals hosteten die Angreifer eine gefälschte Cisco-Webex-Einladungsseite und leiteten Nutzer an, einen bereitgestellten PowerShell-Skriptcode manuell zu kopieren und auszuführen, um angeblich einem Online-Meeting beizutreten. Diese Vorgehensweise erinnert an ClickFix-Kampagnen, bei denen Anwender Schritt für Schritt angeleitet werden, selbst Schadcode zu starten und so technische Schutzmechanismen zu umgehen.
Der ausgelöste PowerShell-Skript erstellte ein Verzeichnis, lud von derselben Domain eine Schaddatei herunter, speicherte sie als ausführbare Datei und richtete einen Windows-Taskplaner-Eintrag im Zwei-Stunden-Takt ein. Damit erreichten die Angreifer eine robuste und automatisierte Persistenz im System.
Indizien für Iran-Bezug und Nutzung generativer KI
Zscaler ordnet Dust Specter mit mittlerer bis hoher Zuversicht der iranischen Staatenwelt zu. Begründet wird dies durch Überschneidungen mit bekannten iranischen Gruppen wie OilRig (APT34), die bereits seit Jahren auf maßgeschneiderte, leichtgewichtige .NET-Backdoors setzen und kompromittierte irakische Regierungsinfrastruktur für Spionage ausnutzen. Diese Taktik passt zu einem langfristigen strategischen Interesse an politischen und diplomatischen Informationen aus dem Irak.
Im Quellcode von TWINTALK und GHOSTFORM fanden die Forscher zudem Code-Stubs, Emojis und ungewöhnliche Unicode-Zeichenfolgen, die auf den Einsatz generativer KI-Werkzeuge bei der Entwicklung hindeuten. Dieser Trend deckt sich mit branchenweiten Beobachtungen: Angreifer verwenden KI zunehmend zur schnelleren Code-Erstellung, Variation von Malware-Familien und zur Erzeugung von Inhalten, die weniger vorhersehbare Signaturen erzeugen. Untersuchungen von Anbietern wie IBM und Mandiant zeigen, dass sich dadurch Entwicklungszyklen verkürzen und Detection-Engines stärker auf Verhaltensanalysen angewiesen sind.
Die Kampagne von Dust Specter verdeutlicht, wie schnell sich staatlich gestützte Angreifer von klassischen Methoden wie DLL Side-Loading und dateibasiertem Command-Exchange hin zu filelosen PowerShell-Operationen, ClickFix-artiger Social-Engineering-Taktik und KI-gestützter Malware-Entwicklung weiterentwickeln. Organisationen – insbesondere Behörden und Betreiber kritischer Infrastrukturen – sollten daher PowerShell-Aktivitäten engmaschig überwachen, moderne EDR/XDR-Plattformen einsetzen, die Ladepfade und Integrität von DLLs kontrollieren und ihre Mitarbeitenden regelmäßig in der Erkennung von Phishing schulen – selbst dann, wenn dieses hinter scheinbar vertrauten Diensten wie Webex oder Google Forms verborgen ist. Ein proaktiver, mehrschichtiger Sicherheitsansatz bleibt die einzige realistische Möglichkeit, gegenüber Gruppen wie Dust Specter einen Verteidigungsvorsprung zu halten.
