Forscher von Broadcom (Symantec) und dem Carbon Black Threat Hunter Team haben eine umfangreiche Cyberoperation der iranischen APT-Gruppe MuddyWater (Seedworm) aufgedeckt. Die Angreifer, die mit dem iranischen Ministerium für Nachrichtendienste und Sicherheit (MOIS) in Verbindung gebracht werden, haben sich in Netzwerken von Banken, einem US-Flughafen, mehreren Nichtregierungsorganisationen sowie der israelischen Niederlassung eines großen Softwareunternehmens mit Verbindungen zur Verteidigungs- und Luftfahrtindustrie festgesetzt.
Iranische APT-Gruppe MuddyWater im geopolitischen Kontext
Nach Angaben der Sicherheitsforscher begann die aktive Phase der Kampagne Anfang Februar und intensivierte sich nach militärischen Angriffen der USA und Israels auf Ziele im Iran. Diese zeitliche Korrelation passt zu der inzwischen etablierten Doktrin Teherans, Cyberoperationen als strategisches Druckmittel und Vergeltungsinstrument einzusetzen. Westliche Sicherheitsbehörden wie die US-CISA und europäische CERTs stufen MuddyWater seit Jahren als staatlich unterstützte Spionagegruppe ein, die sich auf langfristige, verdeckte Präsenz in Zielnetzwerken spezialisiert.
Neuer Backdoor Dindoor: Deno-Runtime und verschleierte Datenexfiltration
In den Netzwerken einer US-Bank, einer kanadischen NGO und des israelischen Softwareunternehmens entdeckten Analysten einen bislang nicht dokumentierten Backdoor namens Dindoor. Besonders auffällig ist der Einsatz der Deno-Laufzeitumgebung für JavaScript, die im Vergleich zu etablierten Runtimes wie Node.js deutlich seltener anzutreffen ist. Dadurch können klassische signaturbasierte und heuristische Sicherheitslösungen, die auf gängige Frameworks optimiert sind, Dindoor schlechter erkennen.
Tarnung durch Rclone und Wasabi-Cloudspeicher
Dindoor dient als Remote-Access-Tool: Er erlaubt die Ausführung von Kommandos, das Nachladen weiterer Module und die Vorbereitung der Infrastruktur für Datendiebstahl. Für die Datenexfiltration setzen die Angreifer auf das weit verbreitete Konsolenwerkzeug Rclone, um Daten in ein S3-kompatibles Wasabi-Cloudspeicher-Bucket zu übertragen. Da Rclone in vielen Unternehmen legitime Backup- und Synchronisationsaufgaben übernimmt und der Traffic wie gewöhnlicher Zugriff auf Cloud-Dienste wirkt, wird die Erkennung auf Netzwerkebene deutlich erschwert.
Python-Implantat Fakeset und Wiederverwendung von Zertifikaten
Parallel dazu fanden die Forscher in der Umgebung eines US-Flughafens und einer weiteren NGO einen eigenständigen Python-Backdoor namens Fakeset, der von Servern des US-Cloudanbieters Backblaze geladen wurde. Der dabei verwendete digitale Zertifikatsfingerabdruck war bereits von den Malware-Familien Stagecomp und Darkcomp bekannt, die zuvor MuddyWater zugeordnet wurden. Auch wenn diese älteren Samples in der aktuellen Kampagne nicht beobachtet wurden, spricht die Wiederverwendung desselben Zertifikats klar für denselben Betreiber und zeigt, wie konsequent iranische Gruppen auf signierten Code und legitime Cloud-Infrastruktur setzen, um Sicherheitskontrollen zu umgehen.
Angriffe auf Hikvision- und Dahua-IP-Kameras für Aufklärung und Schadensbewertung
Vor dem Hintergrund der Eskalation im Nahen Osten meldet Check Point eine verstärkte Aktivität proiranischer und propalästinensischer Hackergruppen wie Handala Hack (auch bekannt als Void Manticore). Teile der Operationen werden über IP-Adressbereiche des Satellitenanbieters Starlink geroutet, wodurch die Herkunft der Angriffe zusätzlich verschleiert wird. Im Fokus stehen schlecht gesicherte externe Webanwendungen mit schwachen Passwörtern und Fehlkonfigurationen.
Weitere iranische Akteure wie Agrius (Agonizing Serpens, Marshtreader, Pink Sandstorm) konzentrieren sich laut Check Point auf massenhaftes Scannen von verwundbaren IP-Kameras und Türsprechsystemen. Ausgenutzt werden unter anderem die Schwachstellen CVE-2017-7921, CVE-2023-6895, CVE-2021-36260, CVE-2025-34067 und CVE-2021-33044 in Geräten von Hikvision und Dahua. Besonders stark betroffen sind Israel, Staaten des Persischen Golfs (VAE, Katar, Bahrain, Kuwait), der Libanon und Zypern. Sicherheitsforscher gehen davon aus, dass kompromittierte Kameras zur operativen Aufklärung und zur Bewertung von Schäden nach Raketen- oder Drohnenangriffen (Battle Damage Assessment) dienen. Eine auffällige Häufung solcher Zugriffe kann somit als Frühindikator für mögliche nachgelagerte kinetische Operationen interpretiert werden.
Taktiken iranischer APTs: Zugang über Konten, Cloud und Identitäten statt Zero-Days
Der kanadische Cyber-Sicherheitsrat (CCCS) warnt, dass Iran seine Cyberfähigkeiten mit hoher Wahrscheinlichkeit für Angriffe auf kritische Infrastrukturen und für Informationsoperationen gegen westliche Staaten einsetzen wird. Analysen von UltraViolet Cyber beschreiben die iranische Offensivkapazität inzwischen als stabil etabliertes Instrument staatlicher Macht. Anstatt primär auf seltene Zero-Day-Exploits zu setzen, fokussieren iranische Gruppen auf skalierbare Zugangstechniken: Diebstahl von Zugangsdaten, Password Spraying, zielgerichtetes Phishing und ausgefeilte Social-Engineering-Kampagnen bis hin zu sogenannten „Honeytrap“-Szenarien, bei denen über längere Zeit vertrauensvolle Beziehungen aufgebaut werden.
Ein zentrales Ziel sind Cloud- und Identity-Plattformen wie Active Directory, Identity Provider (IdP) und SaaS-Dienste. Gelingt es, dort privilegierte Konten zu übernehmen, erhalten Angreifer langlebigen Zugriff auf Unternehmensressourcen und können sich unauffällig lateral in der Umgebung bewegen. Dieser Ansatz erklärt, warum Kampagnen wie die von MuddyWater häufig monatelang unentdeckt bleiben und erst durch gezielte Forensik sichtbar werden.
Konkrete Schutzmaßnahmen gegen MuddyWater und ähnliche Bedrohungen
Organisationen in den Bereichen Finanzwesen, Transport, Verteidigung und Non-Profit sollten ihre Bedrohungsmodelle explizit um iranische APT-Gruppen und verbündete Hacktivisten erweitern. Wichtige Maßnahmen sind: 1. Ausbau von Monitoring und Log-Management, inklusive zentraler Sammlung, Verhaltensanalysen und SIEM-Korrelation mit besonderem Fokus auf Tools wie Rclone und S3-kompatible Cloud-Services. 2. Reduzierung der Angriffsfläche im Internet durch Absicherung oder Abschottung von Admin-Oberflächen, VPN-Gateways, IP-Kameras und OT-Systemen; idealerweise kombiniert mit VPN-Zwang und Allowlists. 3. Durchsetzung von phishing-resistenter Multi-Faktor-Authentifizierung (z. B. FIDO2, Hardware-Token), striktes Identity- & Access-Management und konsequente Vermeidung von Passwortwiederverwendung. 4. Netzsegmentierung zwischen Büro- und Produktionsnetz, getrennte Sicherheitsrichtlinien für Videoüberwachung und IoT, sowie möglichst kein direkter Fernzugriff auf kritische Steuerungssysteme. 5. Belastbare Backup-Strategien mit Offline-Kopien, regelmäßigen Wiederherstellungstests und zügigem Patch-Management für Kameras von Hikvision/Dahua und andere Edge-Geräte, um bekannte CVEs zu schließen.
Angesichts der zunehmenden Verflechtung von geopolitischen Konflikten und Cyberoperationen ist es für Unternehmen im westlichen Raum unerlässlich, ihre Cyber-Resilienz systematisch zu stärken. Wer seine Sicherheitsarchitektur, Überwachungsprozesse und das Security-Awareness-Training des Personals jetzt konsequent ausbaut, reduziert nicht nur das Risiko durch Gruppen wie MuddyWater, sondern schafft die Grundlage, um auch zukünftigen, noch komplexeren Angriffsformen standzuhalten.
