MuddyWater 2.0: Wie iranische APTs ihre Operations-Sicherheit drastisch verbessern
Die Cybersicherheitslandschaft im ersten Quartal 2026 zeigt einen beunruhigenden Trend: Staatsnahe Akteure werden leiser, disziplinierter und nutzen zunehmend legitime Infrastrukturen, um unter dem Radar der Bedrohungsjagd zu bleiben. Ein aktuelles Beispiel liefert die iranische Hackergruppe MuddyWater, die laut einem neuen Bericht von Symantec und Carbon Black mindestens neun Organisationen in neun Ländern auf vier Kontinenten ins Visier genommen hat. Betroffen sind Branchen von der Industrie- und Elektronikfertigung über den Finanzsektor bis hin zu Bildungseinrichtungen und öffentlichen Verwaltungen. Besonders brisant: Ein großer südkoreanischer Elektronikhersteller war im Februar 2026 für eine Woche im Netz der Angreifer gefangen.
Die Ironie der Sicherheit: Missbrauch von EDR-Binaries
Das markanteste Merkmal der neuen Kampagne ist der massive Einsatz von DLL Side-Loading. Dabei handelt es sich um eine Technik, bei der legitimate, digital signierte ausführbare Dateien manipuliert werden, um schädlichen Code in Form einer gefälschten DLL zu laden. MuddyWater nutzt dabei einerseits fmapp.exe (von Fortemedia) – eine Methode, die bereits im Rahmen der Operation Olalampo durch Group-IB dokumentiert wurde.
Weitaus interessanter aus defensiver Sicht ist jedoch die gezielte Nutzung von sentinelmemoryscanner.exe, einem Binary des Sicherheitsanbieters SentinelOne. Dies ist keine zufällige Wahl, sondern ein berechnender Schritt: Sicherheitssoftware genießt auf Endgeräten oft eine Art Narrenfreiheit. EDR-Lösungen (Endpoint Detection and Response) sind darauf ausgelegt, tief im System zu agieren und werden von Signatur-basierten Scans oft als vertrauenswürdig eingestuft (Whitelisting). Indem MuddyWater genau diese Binaries als Trojanisches Pferd nutzt, um die bösartige sentinelagentcore.dll zu laden, hebeln sie die Verteidigung elegant aus.
ChromElevator und der Aushebeln von App-Bound Encryption
Sobald der Fuß in der Tür ist, geht es um den Datenabzug. Die geladenen DLLs integrieren das Open-Source-Tool ChromElevator. Dessen Zweck: Das Ausspähen von Passwörtern, Cookies und Kreditkartendaten aus Chromium-basierten Browsern. Das ist besonders erwähnenswert, da Google mit der App-Bound Encryption (ABE) genau solche Diebstähle verhindern wollte. ABE bindet die Verschlüsselung der Browserdaten an die Identität der applizierenden Software. ChromElevator umgeht diesen Schutz jedoch, indem es die legitimen Browser-Prozesse infiltriert – ein klassisches Beispiel dafür, wie Defensive- und Offensive-Security-Maßnahmen in einem ständigen Katz-und-Maus-Spiel stecken.
Node.js und PowerShell: Die Tarnung im System
Ein weiterer Aspekt, der Entwickler und Admins aufhorchen lassen sollte, ist die initiale Infrastruktur. MuddyWater nutzt Node.js-Skripte (node.exe), um PowerShell-Befehle zu triggern. Warum? Weil node.exe in modernen Entwickler- und Unternehmensumgebungen allgegenwärtig ist. Ein laufender Node-Prozess, der PowerShell aufruft, fällt in vielen Logs nicht sofort als anomal auf, es sei denn, man achtet auf Parent-Child-Prozess-Ketten (Process Lineage). Die PowerShell-Skripte selbst sind das Arbeitstier der Angreifer: Sie übernehmen die Reconnaissance, machen Screenshots, stehlen die SAM-Hive für lokale Credentials, eskalieren Privilegien und bauen SOCKS5-Reverse-Proxy-Tunnel auf.
Die Exfiltration der gestohlenen Daten erfolgt teilweise über sendit[.]sh, einen öffentlichen File-Transfer-Dienst. Auch das ist ein taktischer Schachzug: Datenverkehr zu legitimen Cloud-Diensten wird seltener blockiert als Verbindungen zu bekannten Command-and-Control-Servern (C2) mit dubiosen Domains.
Vom lauten Seedworm zur leisen Implant-Driven Kampagne
Die Analysten von Symantec und Carbon Black stellen einen signifikanten Wandel in der Operations-Sicherheit (OPSEC) von MuddyWater fest. Die Gruppe agiert mittlerweile "implant-driven" anstatt durch eine durchgehende manuelle Operator-Präsenz. Das bedeutet: Automatisierte Implantate halten das System infiziert und sammeln Daten, während die menschlichen Angreifer nur noch bei Bedarf eingreifen. Der Einbruch beim südkoreanischen Hersteller zeigt, dass die Angreifer ihre Werkzeuge mehrfach neu starteten, um den Zugriff zu erhalten – ein Zeichen für Persistenz, aber auch für einen kontrollierten, leisen Ansatz. Die Tage des lauten Seedworm-Schadcodes, der oft viel Spuren hinterließ, scheinen gezählt zu sein.
Der geopolitische Kontext: Iranische Cyber-Operationen im Wandel
Die MuddyWater-Kampagne ist kein isoliertes Ereignis. Sie muss in den breiteren Kontext der iranischen Cyberaktivitäten eingeordnet werden. Zeitgleich verhängte der Europäische Rat Sanktionen gegen das iranische Unternehmen Emennet Pasargad (auch bekannt als Shahid Shushtari), das eng mit den Cyber-Streitkräften des IRGC verknüpft ist. Dieses Unternehmen war unter anderem für Hackerangriffe auf einen schwedischen SMS-Dienst und Desinformationskampagnen während der Olympischen Spiele 2024 in Paris verantwortlich.
Zusätzlich deckt Gambit Security eine weitere Kampagne auf, die dem iranischen Ministerium für Intelligence und Sicherheit (MOIS) zugeordnet wird. Hier kam das maßgeschneiderte C++-Exfiltrationstool "FileFiend" zum Einsatz, das lokale Laufwerke und SMB-Shares durchsucht. Bemerkenswert ist die Dreistigkeit der Datenexfiltration: Die Angreifer komprimierten die Daten auf dem Server des Opfers in RAR-Archiven, luden diese in das Web-Root-Verzeichnis der öffentlichen Website des Opfers und zogen sie von dort mit dem Tool Axel über Proxychains ab. Das Opfer wurde also unfreiwillig zum Host für den Diebstahl seiner eigenen Daten.
Fazit für Defender
Die aktuelle MuddyWater-Kampagne ist ein Lehrstück in moderner OPSEC. Die Angreifer kombinieren keine hochkomplexen Zero-Day-Exploits, sondern setzen auf das Ausnutzen von Vertrauen (legitime Binaries) und das Verschmelzen mit dem System (Node.js, PowerShell, öffentliche File-Sharer). Für Verteidiger bedeutet das: Vertrauen Sie keiner Binaries blind, nur weil sie signiert sind. EDR-Systeme müssen weg von reinen Signatur-Checks hin zur Verhaltensanalyse. Wenn ein SentinelOne-Scanner plötzlich Netzwerkverbindungen zu unbekannten IPs aufbaut oder Browser-Vaults anfasst, ist das ein Alarm, der laut aufschallen muss.
Quelle: The Hacker News
