Vertrieb kontaktieren
Home  /  Beratung  / Hinweis: Konflikt im Nahen Osten & Cyber-Eskalation
Hinweis: Konflikt im Nahen Osten & Cyber-Eskalation

Hinweis: Konflikt im Nahen Osten & Cyber-Eskalation

Geschrieben von Seqrite
Seqrite
Beratung

Hinweis: Konflikt im Nahen Osten & Cyber-Eskalation

Übersicht

Am 28. Februar 2026 starteten die USA und Israel koordinierte Militärschläge gegen den Iran (Operation Epic Fury / Roaring Lion). Irans Oberster Führer Khamenei wurde am 01. März getötet, woraufhin der Iran mit Drohnen- und Raketenangriffen im gesamten Golf reagierte. Die Cyberkriegsführung eskalierte fast unmittelbar.

Die Internetverfügbarkeit im Iran sank innerhalb weniger Stunden nach den ersten Angriffen auf 1–4 %. Das hielt die Angriffe jedoch nicht auf: Dutzende von Bedrohungsgruppen außerhalb des Irans sowie zuvor in die Zielnetzwerke eingeschleuste Hintertüren sorgten für deren Fortsetzung in vollem Umfang.

Der entscheidende Unterschied diesmal: Der Iran setzte nicht mehr nur auf speziell entwickelte Schadsoftware. Der Stryker-Angriff zeigte, dass sie nun auch legitime IT-Tools ohne Schadsoftware missbrauchen. Gleichzeitig nutzte die mit China verbündete Gruppe Mustang Panda die Nachrichtenlage, um unauffällig Informationen zu sammeln, und eine unberechenbare kriminelle Gruppe (TeamPCP) setzte einen Kubernetes-Wiper ein, der auf iranische Infrastruktur abzielte. Es ist ein komplexes Geschehen mit vielen Beteiligten, und es dauert noch an.

Irans mehrschichtiges Cyber-Operationsmodell

Irans Cyber-Ökosystem operiert in einer vielschichtigen Struktur, die staatlich gesteuerte APT-Gruppen (mit Verbindungen zu den Revolutionsgarden und dem Geheimdienstministerium), halboffizielle Auftragnehmer und Tarnorganisationen, von Geheimdiensten gesteuerte Hacktivisten und Kollektive sowie ideologisch gleichgesinnte, parallel operierende ausländische Kollektive vereint. Der Angriff auf die Stryker Corporation am 11. März 2026 markierte eine signifikante Eskalation: eine zerstörerische Löschoperation gegen die USA, die ohne Schadsoftware durch Missbrauch legitimer MDM-Infrastruktur durchgeführt wurde und einen qualitativen Wandel in Irans operativer Fähigkeit und Bereitschaft zur Inszenierung westlicher Unternehmensinfrastruktur darstellt.

Aktive Bedrohungen

Iran-Staat APT-Gruppen

Seedworm / MuddyWater (MOIS)

Die Aktivitäten in US-amerikanischen und israelischen Netzwerken sind seit mindestens Anfang Februar, also noch vor Beginn der Angriffe, bestätigt. Ziele: Bank, Flughafen, NGO und die israelische Niederlassung eines US-Unternehmens. Zwei neue Hintertüren wurden entdeckt.

  • Dindoor: Läuft über Deno (JavaScript-Laufzeitumgebung). Signiert mit dem Zertifikat „Amy Cherne“. Gefunden bei einer Bank, einem Softwareunternehmen und einer kanadischen Nichtregierungsorganisation.
  • Fakeset: Python-basiert. Aus dem Backblaze-Cloud-Speicher heruntergeladen. Signiert mit Zertifikaten von „Amy Cherne“ und „Donald Gay“. Das Donald-Gay-Zertifikat signierte zuvor Stagecomp und Darkcomp, beides bestätigte Seedworm-Tools.

Mit Rclone wurde versucht, Daten des kompromittierten Softwareunternehmens in einen Wasabi-S3-Bucket zu exfiltrieren. MuddyWater führte parallel dazu eine Kampagne (Operation Olalampo) im Nahen Osten, der Türkei und Afrika mit sich überschneidender Infrastruktur durch.

TA453 / APT42 / Charming Kitten (IRGC)

Am 8. März verschickte die Gruppe TA453 trotz des iranischen Internet-Blackouts eine Phishing-E-Mail an eine US-amerikanische Denkfabrik. Der Angreifer gab sich als Politikforscher aus, baute über harmlose E-Mails Vertrauen auf und verschickte anschließend eine Phishing-Seite im OneDrive-Stil, die auf Netlify gehostet wurde. Mithilfe von Tracking-Pixeln auf der kompromittierten Website wurde überprüft, ob das Ziel auf die Seite klickte. Der vollständige Internet-Blackout im Inland konnte die Gruppe nicht stoppen; die Infrastruktur im Ausland ermöglichte ihr weiterhin den Betrieb.

TA402 / OilRig / APT34 (MOIS)

Über einen kompromittierten E-Mail-Account des irakischen Außenministeriums wurde eine Regierung im Nahen Osten angegriffen. Die Köder bezogen sich auf eine mögliche US-Bodenoperation im Iran und ein militärisches Bündnis am Golf. Die Schadsoftware – entweder eine gefälschte PDF-Datei oder eine Seite zum Abgreifen von Zugangsdaten – wurde anhand des IP-Standorts des Ziels ausgeliefert. Dieselbe kompromittierte Infrastruktur des irakischen Außenministeriums wurde auch vom Dust-Specter-Cluster genutzt.

Marshtreader / Agrius / Pink Sandstorm (MOIS)

Erweiterte Kameraüberwachung nach Luftangriffen in Israel, den Vereinigten Arabischen Emiraten, Katar, Bahrain, Kuwait, Libanon und Zypern. Ausgenutzt werden die Sicherheitslücken CVE-2017-7921 und CVE-2023-6895 von Hikvision-Kameras und Video-Gegensprechanlagen. Dieses Vorgehen kompromittiert externe Kameras in der Nähe von Konfliktzonen und dient der Echtzeit-Erfassung von Bildmaterial über die Schäden durch Luftangriffe. Organisationen mit internetfähigen Kameras in diesen Regionen sollten dies als akute Bedrohung einstufen.

Handalas Angriff auf die Stryker Corporation

Der folgenreichste, dem Iran zugeschriebene Angriff auf ein westliches Unternehmen in diesem Konflikt. Am 11. März zerstörte Handala (auch bekannt als Void Manticore, Storm-0842) die Stryker Corporation, ein Medizintechnikunternehmen mit einem Wert von 25 Milliarden US-Dollar und einem US-Liefervertrag über 450 Millionen US-Dollar.

So hat es funktioniert

Der Angreifer erlangte Zugriff auf ein kompromittiertes Microsoft 365-Globaladministratorkonto (vermutlich aus einem alten Protokoll eines Datendiebs, das auf einem kriminellen Marktplatz verkauft wurde). Mit diesem Konto meldete er sich nach Ansicht der Forscher bei Microsoft Intune an und nutzte die legitime Funktion „Gerät auf Werkseinstellungen zurücksetzen“, um aus der Ferne über 200,000 Laptops, Server und Mobilgeräte in 79 Ländern zu löschen. Die Anmeldebildschirme wurden durch das Handala-Logo ersetzt.

  • Das Stryker-Büro in Cork, Irland (4,000–5,500 Mitarbeiter), war am stärksten von den deaktivierten Produktionsanlagen betroffen.
  • Auftragsabwicklung, Produktion und weltweiter Versand sind allesamt beeinträchtigt (bestätigt in einer SEC-Meldung).
  • Die SYK-Aktie fiel nach der Bekanntgabe.
  • 50 TB an Daten wurden angeblich zuvor exfiltriert (nicht vollständig verifiziert).
  • CISA leistete technische Unterstützung; das irische NCSC reagierte.

Um den 20. März ordnete das US-Justizministerium Handala offiziell dem iranischen Geheimdienst MOIS zu und bezeichnete ihn als „falsche Aktivistenpersona“, die für Hack-and-Leak- und psychologische Operationen genutzt werde. FBI-Direktor Kash Patel gab die Beschlagnahmung von vier Handala-Websites bekannt, darunter auch die Website, auf der die Informationen veröffentlicht wurden. Check Point Research brachte Handalas Führung mit der Anti-Terror-Abteilung des MOIS in Verbindung – derselben Abteilung, deren Leiter mutmaßlich bei den Angriffen im März 2026 getötet wurde.

Am 13. März drohte Handala außerdem mit einer 40-TB-Datenlöschaktion im Zusammenhang mit dem Quds-Tag. Bislang wurde kein Opfer bestätigt. Unabhängig davon behaupteten sie, in die Systeme von Verifone eingedrungen zu sein; Verifone wies jeglichen Angriff zurück.

Dust Specter (Iran-Netzwerk, Zielsetzungen der irakischen Regierung)

Forscher haben eine bisher unbekannte, mit dem Iran in Verbindung stehende APT-Gruppe dokumentiert, die ab Januar 2026 irakische Regierungsbeamte ins Visier nimmt. Die Gruppe kompromittierte eine legitime irakische Regierungswebsite, um dort Schadsoftware einzuschleusen, und nutzte eine gefälschte Cisco Webex-Konferenz für Regierungsbesprechungen als ClickFix-Social-Engineering-Köder. Vier neue .NET-Malware-Tools wurden entdeckt.

  • SPLITDROP: Ein Dropper, der die nächste Stufe aus einer passwortgeschützten RAR-Datei extrahiert und sie über legitime Binärdateien wie VLC oder WingetUI installiert.
  • TWINTASK: Ein Worker, der PowerShell-Skripte durch regelmäßiges Abrufen der Dateien in.txt/out.txt ausführt. Die Speicherung erfolgt über den HKCU-Schlüssel „Run“.
  • TWINTALK: C2-Modul, das HTTPS mit randomisierten URIs, Geofencing (Überprüfung des Standorts des Opfers) und User-Agent-Spoofing zur Nachahmung von Chrome verwendet.
  • GHOSTFORM: Eine fortgeschrittene RAT-Anwendung, die TWINTASK und TWINTALK in einer einzigen Binärdatei mit In-Memory-PowerShell kombiniert. Sie verwendet einen Mutex, um nur einmal ausgeführt zu werden, und generiert eine Bot-ID aus dem Erstellungszeitstempel der Assembly.

Ungewöhnliche Code-Artefakte in TWINTALK und GHOSTFORM, wie Emojis, Unicode-Besonderheiten und Platzhalter-Hexadezimalkonstanten (0xABCDEF), deuten darauf hin, dass generative KI in Teilen der Entwicklung zum Einsatz kam. Dies ist der erste bestätigte Fall von KI-gestützter Malware-Programmierung in großem Umfang, der in iranischen APT-Tools beobachtet wurde.

China APT – Mustang Panda (LOTUSLITE)

Am 4. März beobachteten Forscher, wie Mustang Panda (auch bekannt als Earth Preta, TA416, Bronze President) nur wenige Tage nach den Angriffen vom 28. Februar auf Köder im Zusammenhang mit dem Nahostkonflikt umstellte. Dies ist typisch für Mustang Panda, da sie ihre Köder stets an die aktuellen Nachrichten anpassen.

Die schädliche ZIP-Datei enthielt eine legitime KuGou-Musikdatei, die in „Iran Strikes US Military Facilities Across Gulf Region.exe“ umbenannt wurde, sowie eine schädliche DLL-Datei (libmemobook.dll). Beim Ausführen der EXE-Datei wird die DLL-Datei automatisch geladen, was Folgendes bewirkt:

  • Lädt WebFeatures.exe und kugou.dll von einer kompromittierten Domain (e-kflower[.]com) herunter
  • Legt die Persistenz über die Run-Taste fest (ACboardCm / ASEdge)
  • Die DLL-Datei ist die LotusLite-Hintertür – sie kommuniziert über WinHTTP mit dem C2-Server 172.81.60[.]97.

LOTUSLITE wurde bereits im Januar 2026 dokumentiert, wobei es Venezuela-bezogene Köder mit exakt derselben C2-IP verwendete. Dieselbe Backdoor, dieselbe Verbreitungskette, nur ein anderer Aufhänger. Die Zuordnung erfolgt mit mittlerer Wahrscheinlichkeit zu Mustang Panda, basierend auf dem Missbrauch von KuGou-Binärdateien (dokumentierte Vorgehensweise seit 2022), der gemeinsamen C2-IP und eingebetteten Code-Nachrichten, die eine russische Herkunft verneinen (bereits in Mustang Pandas ClaimLoader-Kampagnen beobachtet).

Eine separate, auf den Golf-Kooperationsrat abzielende LNK/CHM-Kampagne veröffentlichte eine Köder-PDF-Datei über „iranische Raketenangriffe auf einen US-Stützpunkt in Bahrain“ zusammen mit einem Shellcode-Loader, der den RC4-Schlüssel „20260301@@@“ verwendet, um die nächste Stufe zu entschlüsseln.

Hacktivistische Gruppen – Die sichtbare Ebene

Die Aktivitäten der Hacktivisten sind zwar lautstark, aber technisch meist wenig wirkungsvoll. DDoS-Angriffe, Website-Defacements und Hack-and-Leak-Behauptungen dominieren. Viele dieser Behauptungen sind übertrieben. Einige wenige Gruppen verfügen jedoch über tatsächliche Fähigkeiten und sollten daher beobachtet werden.

Gruppe an Bestätigte/Angemeldete Operationen Links
Handala / Leerenmantikor Stryker-Scheibenwischer (bestätigt). Israelisches Gesundheitswesen. 1.3 TB Öl/Gas behauptet. Doxing von Kritikern in der Diaspora mit Morddrohungen per E-Mail. MONAT
FAD-Team / Fatimiyoun Wiper-Malware, Zugriffsansprüche auf SCADA/SPS (Israel + Verbündete). Türkischer Medienangriff. IRGC-angrenzend
Cyber-Islamischer Widerstand (313-Team, RipperSec) Drohnenabwehrsystem behauptet. Israelische Zahlungsinfrastruktur. DDoS-Angriff der kuwaitischen Regierung. Pro-Iranisch
DieNet Flughafen Bahrain, Flughafen Sharjah, Riyadh Bank, Bank von Jordanien – allesamt DDoS-Angriffe. Pro-Iranisch
NoName057(16) DDoS-Angriffe auf israelische kommunale, Telekommunikations- und Verteidigungseinrichtungen. Koordiniert mit iranischen Gruppen. Pro-Russisch
Kardinal Behaupteter Zugang zum IDF-Netzwerk; durchgesickertes Dokument mit Bezug auf die Operation Northern Shield. Pro-Russisch
Russische Legion Behaupteter Zugriff auf das Iron Dome-Radar (unbestätigt). Behaupteter Zugriff auf IDF-Server. Pro-Russisch
Z-Pentest Behauptete Kompromittierung von US ICS/SCADA- und CCTV-Systemen vom 28. Februar bis 2. März. Pro-Russisch

 

Forscher analysierten eine detaillierte Chronologie der Hacktivistenaktivitäten auf Telegram ab dem 28. Februar. Der Electronic Operations Room (EOR), ein übergeordneter Koordinierungskanal, wurde am Tag der Angriffe eingerichtet und diente als zentrale Anlaufstelle für den Austausch von Zielen und die Koordinierung der Bekennerschreiben zwischen über 53 Gruppen.

MOIS Telegram C2 Malware

Das FBI veröffentlichte eine öffentliche Warnung (IC3, 20. März), wonach Cyberakteure des iranischen Geheimdienstes MOIS seit Herbst 2023 Telegram-Bots als C2-Infrastruktur nutzen, um iranische Dissidenten, Journalisten und Oppositionsgruppen weltweit ins Visier zu nehmen. Die Schadsoftware verwendet ein zweistufiges Design:

  • Phase 1 tarnt sich als gängige Anwendungen: Telegram_authenticator.exe, KeePass.exe, WhatsApp.exe, Pictory_premium_ver9.0.4.exe. Phase 2 wird beim Start ausgeführt.
  • Dauerhaftes Implantat der Stufe 2, das eine bidirektionale C2-Verbindung zu api.telegram[.]org herstellt. Zugehörige Module zeichnen Bildschirm und Audio während Zoom-Sitzungen auf (MicDriver.zip).

Das FBI bestätigte außerdem, dass Handala bei seiner Hack-and-Leak-Operation gegen Dissidenten im Juli 2025 dieselbe Schadsoftware verwendete, um die geleakten Daten zu sammeln. Dieses Bulletin stellt einen formalen Zusammenhang zwischen Handalas Aktivitäten gegen Dissidenten und der umfassenderen Telegram-C2-Infrastruktur des israelischen Geheimdienstes her.

Operation CamelClone

Seqrite Das APT-Team von Labs identifizierte eine regionsübergreifende Spionagekampagne, bei der in vier Ländern identische Infektionstechniken zum Einsatz kamen: Algerien (Köder: Ministerium für Wohnungsbau), Mongolei (Köder: MonAtom LLC / Kernenergie), Ukraine (Köder: algerisch-ukrainische Zusammenarbeit) und Kuwait (Köder: Waffenbedarf der kuwaitischen Luftwaffe).

Jede Kampagne folgt demselben Ablauf: ZIP → LNK mit PowerShell → Download von HOPPINGANT (f.js JavaScript-Loader) von filebulldogs[.]com → Installation von Rclone v1.70.3 (umbenannt in l.exe) → XOR-Dekodierung der MEGA-Zugangsdaten (Schlüssel: 56) → Exfiltration von Desktop-Dateien (.doc/.docx/.pdf/.txt) und Telegram-Desktop-Sitzungsdaten (Ordner „tdata“) auf MEGA-Konten, die über onionmail.org registriert sind. Vier separate MEGA-Konten wurden identifiziert, alle erstellt zwischen Februar und März 2026.

Zuordnung: unbekannt. Das Zielmuster (Regierung, Verteidigung, Diplomatie, Energie in Brennpunkten der Großmachtrivalität) deutet auf nachrichtendienstliche Aktivitäten auf staatlicher Ebene hin.

TeamPCP – CanisterWorm / Kubernetes Wiper

Ein finanziell motivierter Cloud-Angreifer (TeamPCP, auch bekannt als DeadCatx3, PCPcat, ShellForce) erweiterte sein Toolset um einen geopolitisch ausgerichteten Wiper. Am 19. März führte er zunächst einen Supply-Chain-Angriff auf Trivy (den beliebten Schwachstellenscanner von Aqua Security) durch. Dabei schleuste er Hintertüren in GitHub-Releases und Docker-Images ein, um SSH-Schlüssel, Cloud-Zugangsdaten, Kubernetes-Token und Krypto-Wallets von allen Nutzern zu stehlen, die Trivy in CI/CD-Pipelines einsetzten.

Am 22. März wurde über denselben ICP-Kanister C2 (tdtqy-oyaaa-aaaae-af2dq-cai[.]raw[.]icp0[.]io) eine neue Nutzlast eingesetzt. Diese Nutzlast prüft die Zeitzone und den Standort des Systems. Stimmen diese mit Iran (Asien/Teheran, fa_IR) überein:

  • Auf Kubernetes: Es wird ein DaemonSet namens „host-provisioner-iran“ auf allen Knoten bereitgestellt. Jeder Pod führt einen Alpine-Container namens „kamikaze“ aus, der alle Hostverzeichnisse der obersten Ebene löscht und den Knoten neu startet.
  • Auf iranischen Hosts ohne Kubernetes: Führt den Befehl `rm -rf / --no-preserve-root` aus.
  • Auf nicht-iranischen Kubernetes-Hosts: Installiert die CanisterWorm-Backdoor als systemd-Dienst (pgmonitor) für fortlaufenden Zugangsdatendiebstahl.

Es ist unklar, ob tatsächlich iranische Systeme gelöscht wurden; der Schadcode war nur kurz aktiv und wurde schnell ausgetauscht. Forscher merken an, dass die Gruppe offenbar auch auf Aufmerksamkeit aus ist. Der Angriffsvektor in der Lieferkette (Trivy läuft in Millionen von Entwicklungsumgebungen) und die zerstörerische, geopolitisch ausgerichtete Nutzlast sind jedoch real und bemerkenswert. TeamPCP übernahm außerdem am 22. März die private GitHub-Organisation von Aqua Security und benannte alle 44 internen Repositories in „tpcp-docs-*“ mit der Beschreibung „TeamPCP besitzt Aqua Security“ um.

Erweiterung der Überwachung durch die Revolutionsgarde

Iran Wire berichtete, dass die Revolutionsgarden eine direkte Warnung an die iranische Bevölkerung herausgegeben haben: Aktivitäten auf Instagram und Telegram werden aktiv überwacht. Die iranischen Geheimdienste haben ihre Überwachungsoperationen im Inland seit den Angriffen deutlich ausgeweitet und gleichen die Aktivitäten in sozialen Medien mit bekannten Profilen von Dissidenten ab. Dies steht in direktem Zusammenhang mit der Telegram-C2-Kampagne des FBI (FLASH). Dieselbe Infrastruktur, die für Angriffe auf Dissidenten im Ausland genutzt wird, wird nun auch im Inland ausgebaut.

Die Nutzung von Starlink durch die Handala-Gruppe während des iranischen Internet-Blackouts bestätigt, dass iranische Akteure bereits Maßnahmen gegen die Unterbrechung der Internetverbindungen im Inland getroffen haben. Ein flächendeckender Internet-Blackout neutralisiert diese Akteure nicht mehr.

Sektorexposition

Einsatzbereiche Risikostufe Beobachtete / Erwartete Zielsetzungen
Energie — Öl und Gas KRITISCH Handala behauptet, 1.3 TB an Daten von Betreibern in der Golfregion abgegriffen zu haben. Ansprüche auf Zugriff auf SCADA/SPS-Systeme. Navigationsstörungen betreffen über 1,100 Schiffe in der Nähe der Straße von Hormus. Drohnenangriffe der Revolutionsgarden auf AWS Bahrain. Die räuberische Hackergruppe Sparrow hat zuvor 90 Millionen US-Dollar von einer iranischen Kryptobörse abgezogen.
Regierung & Verteidigung KRITISCH Alle iranischen APT-Gruppen. Dust Specter zielt auf das irakische Außenministerium. DDoS-Angriffe auf Regierungsseiten in Kuwait, Jordanien und Bahrain. UNG0801 zielt auf die IT-Systeme der israelischen Regierung. CamelClone zielt auf Verteidigungs- und diplomatische Einrichtungen in Algerien, der Mongolei, Kuwait und der Ukraine.
Finanzdienstleistungen HOCH DDoS-Angriffe auf israelische Banken. Riyadh Bank. Bank of Jordan. Vishing in den VAE. Angriffe auf das in Verruf geratene israelische Scorpius-Netzwerk. Gefälschte SSA-Portale und Phishing-Angriffe auf die Mautgebühr Kvish 6 (mit iranischer Unterstützung).
Gesundheitswesen HOCH Datenlöschung bei Stryker Corporation (weltweit über 200 Geräte gelöscht – Zulieferer des US-Verteidigungsministeriums). Handala-Sicherheitslücke im israelischen Gesundheitsnetzwerk (Clalit). Reaktion auf Sicherheitsvorfälle auf CISA-Niveau.
Verteidigungsindustrie und Lieferkette HOCH Stryker Corporation (450-Millionen-Dollar-Auftrag des US-Verteidigungsministeriums). US-Lieferant (Seedworm Dindoor). Kompromisse in der Lieferkette werden zunehmend genutzt, um mehrere lukrative Ziele gleichzeitig zu erreichen.
Luftfahrt & Transport HOCH DDoS-Angriff auf Flughafen Bahrain. DDoS-Angriff auf Flughafen Sharjah/VAE. US-Flughafen auf der Liste der Seedworm-Opfer. GPS-Spoofing in der Straße von Hormuz betrifft über 1,100 Schiffe.
Telekommunikation HOCH Historischer Schwerpunktbereich der Revolutionsgarden/des Geheimdienstes. Störung der Infrastruktur und gezielte Angriffe auf Internetanbieter zur Lokalisierung von Dissidenten. Anhaltende Spionagekampagnen.
Kritische Infrastruktur (OT/ICS) HOCH Zugriffsansprüche auf SCADA/SPS-Systeme wurden von Cyber ​​Islamic Resistance und dem FAD-Team geltend gemacht. Kamerascans wurden von Marshtreader durchgeführt. Z-Pentest meldete die Kompromittierung von US-amerikanischen ICS/SCADA- und CCTV-Systemen (28. Februar – 2. März).
IT / Managed Service Provider / Software MITTEL–HOCH UNG0801 / Operation IconCat zielt gezielt auf israelische IT-Unternehmen, Managed Service Provider (MSPs), Personalabteilungen und Softwareanbieter ab. Ein Seedworm kompromittierte einen israelischen Softwarelieferanten im Verteidigungssektor. Dies stellt ein Einfallstor in die Lieferkette für nachgelagerte Opfer dar.
NGOs und Think Tanks MITTEL–HOCH TA453/APT42 zielt auf einen US-amerikanischen Thinktank ab (Credential-Phishing). Eine kanadische NGO steht auf der Seedworm-Opferliste. UNG0801 zielt auf israelische Unternehmensnetzwerke ab.
Medien- und Einflussoperationen MITTEL Das FAD-Team nahm türkische Medien ins Visier. Fake-News-Blogs verbreiteten StealC. Hacktivistische psychologische Operationen wurden über Telegram und X durchgeführt.

 

Was es zu beachten gilt

  • Es kommt vermehrt zu Intune/MDM-Angriffen auf Unternehmen mit großen, von Microsoft verwalteten Geräteflotten. Jede Organisation, in der ein kompromittiertes globales Administratorkonto Massenlöschungen auf Geräten auslösen kann, ist genauso gefährdet wie Stryker.
  • Handala hat mit einer zweiten Welle im Zusammenhang mit dem Quds-Tag gedroht. Verfolgen Sie deren Telegram-Kanäle und den X-Feed, um gezielte Ankündigungen zu erhalten.
  • Die bereits eingerichteten Zugänge für Seedworm werden wahrscheinlich aktiviert. Die Gruppe war schon vor Kriegsbeginn in US-amerikanischen und israelischen Netzwerken präsent; diese Verbindungen bestehen nicht ohne Grund.
  • Weitere Angriffe auf die Lieferkette. Sowohl die Trivy-Kompromittierung von TeamPCP als auch das Theme-Jumping von Mustang Panda zeigen, dass Angreifer problemlos die Entwickler-Toolchain und den Nachrichtenzyklus gleichzeitig als Angriffsvektoren nutzen können.
  • Das Risiko eines Datenverlusts bleibt hoch. Druidfly, FAD Team und Handala verfügen alle über eine funktionierende Datenverlustfunktion. BibiWiper, Hatef und die Stryker MDM-Wipe-Methode stellen drei unterschiedliche Bereitstellungsansätze dar.
  • Ausweitung des Telegram-C2-Netzwerks des iranischen Geheimdienstes MOIS. Der FBI-Flash-Bericht behandelt Angriffe, die bis ins Jahr 2023 zurückreichen. Es ist zu erwarten, dass dieselbe Schadsoftware (Pictory, KeePass, WhatsApp-ähnliche Programme) erneut gegen die Diaspora, Forscher und Journalisten außerhalb des Irans eingesetzt wird.
  • Es werden vermehrt opportunistische, China-nahe Daten gesammelt, die Konfliktthemen nutzen, die sich nicht auf Mustang Panda beschränken. Jede bedeutende geopolitische Entwicklung wird innerhalb von 48–72 Stunden als Phishing-Köder instrumentalisiert.

Was Ihr Team tun sollte

Jetzt sofort

  • Überprüfen Sie Ihre globalen Administratorkonten in Microsoft 365 und Intune. Sind ALLE mit einer phishingresistenten Multi-Faktor-Authentifizierung (FIDO2 oder zertifikatsbasiert) ausgestattet? Falls nicht, beheben Sie dieses Problem zuerst.
  • Richten Sie eine Warnung für jede Intune-Aktion ein, die mehr als N Geräte löscht oder auf Werkseinstellungen zurücksetzt. Dieser Schwellenwert sollte für eine vom Benutzer initiierte Aktion sehr niedrig sein.
  • Wenn Sie Trivy in Ihrer CI/CD-Pipeline verwenden, überprüfen Sie, welche Version festgelegt ist. Die Versionen 0.69.4 bis 0.69.6 sind gefährdet. Legen Sie eine verifizierte, sichere Version anhand der Commit-SHA fest, nicht anhand des Tags.
  • Extrahieren Sie die Hashwerte der MOIS Telegram C2-Dateien aus Abschnitt 3.2 und analysieren Sie diese mit Ihrem EDR-System. Diese sind seit 2023 aktiv.
  • Prüfen Sie, ob Rclone, AnyDesk, ScreenConnect und PDQConnect an Orten ausgeführt werden, an denen Sie sie nicht installiert haben. CamelClone, Seedworm und Handala missbrauchen legitime Tools.

Diese Woche

  • Führen Sie eine Authentifizierungsprüfung durch. Achten Sie auf Anmeldungen aus ungewöhnlichen Ländern, Zugriffe außerhalb der Geschäftszeiten und alle in den letzten 60 Tagen erstellten Administratorkonten.
  • Prüfen Sie den ausgehenden Datenverkehr auf unerwartete Verbindungen zu MEGA, Backblaze, Wasabi und der Telegram API (api.telegram[.]org) von Serverprozessen und nicht vom Browser.
  • Testen Sie die Wiederherstellung Ihrer Backups. Konkret: Können Sie einen kritischen Server aus einem vom Netzwerk getrennten Backup wiederherstellen, wenn Ihre primäre Umgebung gelöscht wird? Dauert die Überprüfung länger als eine Stunde, liegt hier die Schwachstelle.
  • Bei Kubernetes-Bereitstellungen: Überprüfen Sie Ihre DaemonSets in kube-system. Suchen Sie nach Containern mit dem Namen „host-provisioner-*“ oder „provisioner“. Prüfen Sie, ob Alpine-Container mit dem Mountpunkt „hostPath: /“ vorhanden sind.
  • Informieren Sie Ihr Team über Phishing-Angriffe mit Bezug zu Konflikten. Aktuelle Köderthemen: iranische Raketenangriffe, Aktualisierungen zum JCPOA, Militärbündnis am Golf, Zivilschutzwarnungen, Beschaffungsvorhaben der kuwaitischen Luftwaffe, Kooperationsvorschläge.

Laufend

  • Überwachen Sie Telegram und X auf Ziellisten und Meldungen über Sicherheitsvorfälle, die mit Ihrer Organisation oder Branche in Verbindung stehen. Hacktivistische Gruppen veröffentlichen ihre nächsten Ziele, bevor sie angreifen.
  • Abonnieren Sie den Iran-Beratungsfeed von CISA und die Warnmeldungen des britischen NCSC zu diesem Konflikt.
  • Überprüfen Sie die Berechtigungen Ihrer CI/CD-Pipeline. Dienstkonten mit PATs (Personal Access Tokens) und ohne MFA sind genau das, was TeamPCP verwendet hat, um die GitHub-Organisation von Aqua Security zu kontrollieren.
  • Sprechen Sie mit Ihrem Cyberversicherer über Ausschlussklauseln für Kriegsverbrechen. Der Stryker-Angriff wurde nachweislich staatlich zugeordnet (US-Justizministerium). Versicherungen decken möglicherweise keine staatlich angeordnete Zerstörung ab.

Referenzen

  1. https://unit42.paloaltonetworks.com/iranian-cyberattacks-2026/
  2. https://unit42.paloaltonetworks.com/evolution-of-iran-cyber-threats/
  3. https://www.ic3.gov/CSA/2026/260320.pdf
  4. https://www.security.com/threat-intelligence/iran-cyber-threat-activity-us
  5. https://www.rapid7.com/blog/post/tr-iran-cyber-playbook-escalating-regional-conflict/
  6. https://www.zscaler.com/blogs/security-research/middle-east-conflict-fuels-opportunistic-cyber-attacks
  7. https://www.zscaler.com/blogs/security-research/dust-specter-apt-targets-government-officials-iraq
  8. https://www.acronis.com/en/tru/posts/lotuslite-targeted-espionage-leveraging-geopolitical-themes/
  9. https://www.seqrite.com/blog/operation-camelclone-multi-region-espionage-campaign-targets-government-and-defense-entities-amidst-regional-tensions/
  10. https://www.seqrite.com/blog/ung0801-tracking-threat-clusters-obsessed-with-av-icon-spoofing-targeting-israel/
  11. https://www.bleepingcomputer.com/news/security/teampcp-deploys-iran-targeted-wiper-in-kubernetes-attacks/
  12. https://www.bleepingcomputer.com/news/security/trivy-supply-chain-attack-spreads-to-docker-github-repos/
  13. https://www.aikido.dev/blog/teampcp-stage-payload-canisterworm-iran
  14. https://krebsonsecurity.com/2026/03/canisterworm-springs-wiper-attack-targeting-iran/
  15. https://www.reuters.com/technology/iran-linked-hackers-restore-website-after-us-seizes-domains-2026-03-20/
  16. https://iranwire.com/en/news/150668-irgc-warns-citizens-your-instagram-and-telegram-activity-is-being-watched/
  17. https://socradar.io/blog/telegram-activity-timeline-iran-israel-us-war/
  18. https://www.proofpoint.com/us/blog/threat-insight/iran-conflict-drives-heightened-espionage-activity
  19. https://www.intel471.com/blog/israeli-us-strikes-against-iran-triggers-a-surge-in-hacktivist-activity
  20. https://techcrunch.com/2026/03/20/u-s-accuses-irans-government-of-operating-hacktivist-group-that-hacked-stryker/
  21. https://www.sophos.com/en-us/blog/hacktivist-campaigns-increase-as-united-states-iran-and-israel-conflict
  22. https://research.checkpoint.com/2026/handala-hack-unveiling-groups-modus-operandi/
  23. https://www.cloudsek.com/blog/middle-east-escalation-israel-iran-us-cyber-war-2026
  24. https://www.ncsc.gov.uk/news/ncsc-advises-uk-organisations-take-action-following-conflict-in-middle-east
  25. https://www.cisa.gov/topics/cyber-threats-and-advisories/advanced-persistent-threats/iran

Autoren:

Shayak Tarafdar
Deepak Thomas Philip
Sathwik Ram Prakki
Kartikkumar Jivani

 

Seqrite

Über uns Seqrite

Seqrite ist ein führender Anbieter von Cybersicherheitslösungen für Unternehmen. Mit dem Fokus auf die Vereinfachung der Cybersicherheit, Seqrite bietet umfassende Lösungen und Dienstleistungen...

Artikel von Seqrite »