Irans Cyberoperationen vor „Epic Fury“: Gezielter Infrastrukturaufbau und Hacktivisten-Welle nach den Angriffen

Sechs Monate vor den US-amerikanisch-israelischen Angriffen auf den Iran verdichteten sich die Hinweise auf einen systematischen Aufbau iranischer Cyberinfrastruktur. Eine Analyse der Sicherheitsfirma Augur Security zeigt, wie staatlich gesteuerte Gruppen ihre digitalen Kapazitäten vorbereiteten, welche Verschleierungsarchitektur dabei zum Einsatz kam – und wie das Ökosystem verbündeter Hacktivisten nach dem Angriff innerhalb von Stunden expandierte.

Hintergrund: Operation Epic Fury und die digitale Vorbereitung

Am 28. Februar 2026 begannen die USA und Israel koordinierte Angriffe auf iranische Militärstandorte – bekannt als „Operation Epic Fury“ beziehungsweise „Operation Roaring Lion“. Was seither aus der Auswertung von Sicherheitsforschern hervorgeht:

Staatlich gesteuerte iranische Cybergruppen hatten sich in den Monaten zuvor systematisch auf eine digitale Gegenreaktion vorbereitet.

Die Sicherheitsfirma Augur Security hat diesen Infrastrukturaufbau auf Basis von KI-gestütztem Verhaltens- und Infrastruktur-Fingerprinting dokumentiert. Die Plattform identifiziert Muster auf IP- und CIDR-Ebene und gruppiert Vorhersagen in Cluster, die auf gemeinsam genutzte Infrastruktur hinweisen. Der vorliegende Bericht stützt sich auf diese Plattformdaten, ergänzt durch öffentlich verfügbare Quellen (OSINT).

Dass iranische Cyberaktivitäten nach dem Beginn der Angriffe anstiegen, ist wenig überraschend. Auffälliger ist der Befund, dass Gruppen, die dem MOIS (iranisches Ministerium für Geheimdienst und Sicherheit) und dem IRGC (Korps der Islamischen Revolutionsgarden) nahestehen, ihre Infrastrukturaktivitäten bereits deutlich vor dem 28. Februar erhöhten.

MuddyWater: Zwei Phasen des Infrastrukturaufbaus

Im Mittelpunkt der Analyse steht die Gruppe MuddyWater, die dem MOIS zugerechnet wird und zu den beständigsten aktiven iranischen Cyberakteuren des Zeitraums 2024–2026 zählt. Zwei ihrer Infrastrukturcluster zeigen einen auffälligen Aktivitätsanstieg in den Monaten vor den Angriffen.

September 2025 – Profil 152131:

Zwischen dem 18. und 20. September 2025 wurden innerhalb eines 72-Stunden-Fensters sieben IP-Adressbereiche (CIDRs) markiert:

• Fünf davon lagen beim Anbieter BV-EU-AS (AS62005), einer in Estland registrierten Autonomous System Number, die erst im Februar 2022 zugewiesen wurde
• Die zugewiesenen Ländercodes umfassten Russland, das Vereinigte Königreich und Estland – ein gemischtes Zuweisungsprofil, das typisch für sogenannte Bulletproof-Hosting-Anbieter (BPH) ist
• Das beobachtete Subnetz-Aufteilungsmuster bei bestimmten IP-Präfixen entspricht Mustern, die in früheren MuddyWater-Zuweisungsphasen dokumentiert wurden
• Die verbleibenden zwei CIDRs nutzten Clouvider (AS62240), einen britischen Hosting-Anbieter mit bekannter Missbrauchsgeschichte durch verschiedene Bedrohungsakteure

Dieser Aktivitätsanstieg erfolgte rund fünf Monate vor den Angriffen vom 28. Februar – ein Zeitrahmen, der mit typischer Infrastrukturvorbereitung vor dem operativen Einsatz übereinstimmt. Augur bewertet diese zeitliche Korrelation mit mittlerer Sicherheit als Hinweis auf eine gezielte Vorpositionierung. Eine routinemäßige Infrastrukturerweiterung lässt sich dabei jedoch nicht vollständig ausschließen.

Januar 2026 – Profil 137113:

Am 28. Januar 2026 – rund einen Monat vor den Angriffen – wurde ein einzelner /24-Adressblock beim Anbieter HostRoyale (AS203020) registriert. Es handelt sich dabei um die dritte Aktivitätsphase dieses Profils, nach einem ersten Ausbruch im Oktober 2020 und einem weiteren Cluster im Februar 2022.

HostRoyale ist in Indien registriert, betreibt jedoch albanischen Adressraum – eine Kombination, die auf eine mehrstufige Jurisdiktionsverschleierung hindeutet. Der Anbieter taucht in mehreren Phasen der Profilhistorie auf, was entweder auf eine dauerhafte Präferenz der Betreiber oder auf eine langfristige Vereinbarung schließen lässt.

Die Erkennungen vom September 2025 und Januar 2026 nutzen dabei unterschiedliche Anbieter-Ökosysteme, obwohl sie derselben Akteursgruppe zugeordnet werden. BV-EU-AS und Clouvider stellen einen von HostRoyale getrennten Hosting-Stack dar. Augur wertet diese Divergenz entweder als bewusste Diversifizierung zur Reduktion des Entdeckungsrisikos an einem einzelnen Punkt – oder als Hinweis auf zwei operativ getrennte Untergruppen innerhalb von MuddyWater, die separate Beschaffungskanäle nutzen. Beide Interpretationen deuten im Vergleich zu früheren Akquisitionsmustern auf eine ausgereiftere operative Sicherheitshaltung hin.

Mehrstufige Infrastruktur zur Verschleierung der Herkunft

Die Analyse beschreibt die typische Architektur iranischer Akteure, die explizit darauf ausgelegt ist, die Herkunft zu verschleiern und Ermittlungen sowie rechtliche Durchsetzungsmaßnahmen durch zusätzliche Zuständigkeitsebenen zu erschweren. Das Modell arbeitet in drei Ebenen:

Ebene 1 – Iranische Ausgangspunkte: Iranische ISPs und Hosting-Unternehmen wie Sefroyek Pardaz Engineering mit Sitz in Teheran bilden den Ausgangspunkt der Infrastruktur.

Ebene 2 – Bulletproof-Hosting: Die zweite Ebene umfasst Anbieter, die als besonders resistent gegenüber Takedown-Maßnahmen gelten, darunter:

• ALEXHOST, ein moldawisches Unternehmen
• RouterHosting LLC, eine in Wyoming registrierte Briefkastenfirma, die in der Vergangenheit bereits mit iranischen Bedrohungsakteuren in Verbindung gebracht wurde

Ebene 3 – Weitere Briefkastenfirmen mit doppelter Jurisdiktion:

• Cloudblast: In den USA registriert, operiert von Dubai aus, leitet den Datenverkehr über einen in den Niederlanden ansässigen Upstream-Anbieter – was eine weitere Zuständigkeitsebene hinzufügt
• UltaHost: Mit doppelter Registrierung als UltaHost Inc. in den USA und ULTAHOST Ltd. im Vereinigten Königreich; die ICANN erließ am 5. Februar 2025 eine formelle Mitteilung wegen Verstoßes gegen die Registrar-Akkreditierungsvereinbarung – ein Warnsignal, das von Sicherheitsforschern als Indikator für problematische Anbieter gewertet wird

Historische Entwicklung: Drei Phasen iranischer Infrastrukturaktivität

Die Auswertung der Augur-Plattformdaten von 2015 bis März 2026 zeigt eine klar erkennbare Verschiebung im Verhalten iranischer Akteure beim Erwerb und der Konfiguration von Infrastruktur. Diese Verschiebung ist analytisch relevant, weil sie zeigt, dass das Ausbleiben von Signalen kein Beweis für Inaktivität ist – sondern für eine Methodenanpassung.

Phase 1 (2015–2019): Direkte Zuweisung

OilRig/APT34 war in diesem Zeitraum der am dichtesten erfasste Cluster im iranischen Datensatz:

• Allein Profil 88555 umfasste 195 Vorhersagen und 92 aktive IP-Bereiche
• Die Infrastrukturmuster waren stabil und für automatisierte Analysemodelle gut nachverfolgbar
• Das Fingerabdruckmuster blieb über mehrere Erfassungszyklen konsistent

APT33 und Charming Kitten (APT35) tauchen ebenfalls in mehreren Clustern auf, ebenso frühe MuddyWater-Infrastruktur mit Tools wie PhonyC2 und Phishery.

Phase 2 (2019–2022): Übergang und Erfassungslücke

OilRig-Vorhersagen enden nach August 2019 vollständig. APT33 ist zuletzt im Juni 2020 erfasst. Augur wertet dies ausdrücklich nicht als Rückzug der Akteure, sondern als Methodenwechsel: Die Gruppen wechselten zu gemieteten BPH-Ressourcen, Registrierungen über Briefkastenfirmen und freizügige westliche Hosting-Anbieter. Das auf frühere Beschaffungsmuster kalibrierte Fingerabdruckmodell verlor das Signal, als sich das zugrundeliegende Verhalten änderte.

Das Fehlen von OilRig- und APT33-Signalen ab 2020 sollte daher als Lücke in der Erfassung verstanden werden – nicht als Beweis für Inaktivität. Dieser Hinweis ist für die aktuelle Bedrohungsanalyse von Bedeutung: Eine geringere Sichtbarkeit darf nicht mit dem Ende einer Bedrohung gleichgesetzt werden.

Phase 3 (2020–heute): Neuaufbau auf BPH-naher Infrastruktur

MuddyWater taucht ab Oktober 2020 mit verändertem Fingerabdruck wieder auf. Die neue Infrastruktur basiert auf einem anderen Hosting-Stack als die OilRig-Cluster von 2015 bis 2019 – was zeigt, dass das Analysemodell nach einer Neukalibrierung erneut in der Lage war, die Gruppe zu verfolgen.

Berichte von Unit42 identifizierten MuddyWater-Backdoors noch im Februar 2026 in Dutzenden von US-Netzwerken, darunter Banken, Flughäfen und gemeinnützige Organisationen. Die dabei eingesetzte neue „Dindoor“-Backdoor deutet auf eine Strategie der verdeckten Persistenz hin – weniger auf offene Störung, mehr auf langfristigen Zugangserhalt. Augur interpretiert dies als Bestätigung, dass MuddyWater seine Aktivitäten nie eingestellt, sondern seine Methoden, Infrastruktur und sein Sichtbarkeitsprofil angepasst hat.

Weitere iranische Akteure im Überblick

OilRig / APT34 / Helix Kitten (MOIS)

OilRig blieb laut Open-Source-Berichten mindestens bis Oktober 2025 aktiv. Dokumentierte Aktivitäten umfassten:

• Spear-Phishing-Kampagnen gegen Energie- und Finanzsektor
• Anmeldedaten-Harvesting über maßgeschneiderte Web-Shells
• Einsatz der RDAT-Backdoor und des Veaty-Implants

Das Fehlen von Plattformvorhersagen nach August 2019 wird von Augur nicht als Inaktivität gewertet, sondern als Folge des Infrastrukturübergangs. Nach Oktober 2025 verfolgte das Augur-Team den OilRig-Cluster über die Partnergruppe BladedFeline weiter, die hauptsächlich den Irak und die Regionalregierung Kurdistans ins Visier nimmt und mit dem OilRig-Implantat PrimeCache arbeitet – einem Tool, das der RDAT-Backdoor sehr ähnlich ist.

APT35 / Charming Kitten / Mint Sandstorm (IRGC-IO)

APT35 ist für maßgeschneiderte Phishing-Angriffe, Identitätsbetrug und MFA-Bypass-Techniken bekannt, die sich gegen hochrangige Einzelpersonen richten – darunter Forscher und Dissidenten. Seit Beginn der Angriffe ist die Gruppe vereinzelt durch Phishing-Kampagnen gegen US-amerikanische Politikexperten in Erscheinung getreten. Das insgesamt zurückhaltende Aktivitätsprofil wertet Augur als Hinweis darauf, dass die Betreiber mit logistischen Herausforderungen inmitten der anhaltenden Bombardements konfrontiert sind.

Cotton Sandstorm / Emennet Pasargad (IRGC)

Diese IRGC-Einheit hat in mehreren Ländern Einflussoperationen und Störaktionen durchgeführt – mit Schwerpunkt auf Israel, den USA, Frankreich und Schweden. Das Tool WezRat, das mit der Gruppe in Verbindung gebracht wird, wurde zur Unterstützung dieser Operationen eingesetzt. Bemerkenswert ist ein Eintrag im Plattformprofil 108388, der sowohl Cotton-Sandstorm- als auch MuddyWater-Tags auf demselben Cluster enthält – obwohl erstere dem IRGC, letztere dem MOIS zugeordnet werden. Augur wertet dies als mögliche Infrastrukturüberschneidung, jedoch nicht als Beweis für eine organisatorische Verbindung.

CyberAv3ngers (IRGC-CEC)

CyberAv3ngers, dem Cyber- und Elektronikkommando der IRGC zugeschrieben, hat industrielle Steuerungssysteme in Wasseraufbereitungs-, Gasverteilungs- und Energieanlagen ins Visier genommen. Die Backdoor „IOControl“, speziell für SCADA- und ICS-Umgebungen entwickelt, stellt gegenüber früheren Kampagnen eine erhebliche Weiterentwicklung dar. Das Fehlen der Gruppe in aktuellen Plattformclustern wird mit dem spezialisierten Charakter von ICS-Operationen begründet – nicht mit Inaktivität.

Handala

Handala tauchte Ende 2023 auf und hat seitdem Datenexfiltrations- und Wiper-Operationen durchgeführt, die sich vorwiegend gegen israelische Organisationen richten. Die operativen Muster der Gruppe werden als im Einklang mit einer Ausrichtung oder Förderung durch das MOIS bewertet – eine direkte Zuordnung zu einer bestimmten MOIS-Einheit ist öffentlich jedoch nicht bestätigt.

Fallbeispiel: Angriff auf Stryker

Am 11. März übernahm das Handala Hack Team die Verantwortung für einen Angriff auf den US-Medizintechnikhersteller Stryker. Die Vorgehensweise:

• Über Microsoft Intune wurden Löschbefehle auf alle Unternehmensserver, E-Mail-Systeme und Endgeräte übertragen
• Einige Berichte sprechen auch von der Löschung privater Geräte von Mitarbeitenden
• Stryker bestätigte den Vorfall am Folgetag öffentlich

Die Konsequenzen umfassten weltweite Betriebsunterbrechungen, Verzögerungen beim Versand von Prothesen sowie die Beeinträchtigung einzelner chirurgischer Eingriffe in den USA. Handala rechtfertigte den Angriff mit der Bezeichnung Strykers als „zionistisch verwurzeltes Unternehmen“ und verwies auf die Übernahme des israelischen Unternehmens OrthoSpace durch Stryker im Jahr 2019.

Augur bewertet den Angriff als opportunistisch: Der verfügbare Zugang und der symbolische Wert des Ziels erklären die Operation besser als eine geplante Kampagne gegen die US-Gesundheitsinfrastruktur. Das Vorgehen entspricht zudem den Mustern früherer Handala-Aktionen.

Hacktivisten-Mobilisierung nach dem 28. Februar

Innerhalb von 24 Stunden nach Beginn der Angriffe wurde ein sogenannter „Electronic Operations Room“ eingerichtet, der die Koordination von schätzungsweise 60 oder mehr verbündeten Hacktivisten-Gruppen aus Russland, dem Iran und dem gesamten Nahen Osten übernahm. Die Struktur entspricht dem Koordinationsmodell, das bereits nach der Eskalation des Gaza-Konflikts im Oktober 2023 beobachtet wurde.

Aktive Gruppen in den Wochen nach dem Angriff:

• Cyber Fattah
• Fatimiyoun Cyber Team
• NoName057 (russische DDoS-Gruppe)
• Handala Hack Team
• Weitere Kollektive unter Koordination von Cotton Sandstorm/Emennet Pasargad

Der Schwerpunkt liegt auf israelischen und US-amerikanischen Regierungs-, Finanz- und Infrastrukturzielen. Sekundär werden auch Golfstaaten angegriffen, denen eine Unterstützung der US-amerikanisch-israelischen Operationen vorgeworfen wird. Neben DDoS-Angriffen und Phishing-Kampagnen wurden auch Deface-Aktionen und Störmaßnahmen dokumentiert.

Augur weist dabei ausdrücklich darauf hin, dass viele öffentlich behauptete Einbrüche aus diesem Zeitraum als opportunistisch oder übertrieben einzustufen sind. Eine pauschale Gleichsetzung aller Behauptungen mit verifizierten Operationen wäre analytisch nicht belastbar.

Internetinfrastruktur des Iran weitgehend ausgefallen

Die nationale Internetkonnektivität des Iran sank während der Angriffe zunächst auf vier Prozent des Normalniveaus (Quelle: NetBlocks). In den Tagen danach fiel sie auf unter ein Prozent und verbleibt zum Zeitpunkt der Analyse auf diesem Niveau. Vollständige Ausfälle wurden an zwei Daten dokumentiert: am 8. Januar 2026 und am 28. Februar 2026.

Augur wertet diese Ausfälle als zusätzlichen Beleg für tatsächliche operative Beeinträchtigungen zentraler iranischer Cybereinheiten. Die Überwachung der Betreiberinfrastruktur und OSINT-Quellen bestätigt eine insgesamt ruhigere Haltung bei den Kernakteuren – auch wenn verbündete Gruppen weiterhin aktiv sind.

Historisch waren Störungen der iranischen Heiminfrastruktur mit verstärkten externen Cyberaktivitäten staatlicher Akteure verknüpft. Im aktuellen Fall gehen die beobachtbaren Aktivitäten jedoch überwiegend von verbündeten Gruppen und ideologischen Verbündeten aus – nicht von den Kernakteuren des MOIS oder IRGC.

Einschätzung und Handlungsempfehlungen

Augur schätzt mit mittlerer bis hoher Sicherheit, dass die Cyberkapazitäten des Iran durch die anhaltenden Angriffe auf Militärstandorte und die damit verbundenen Infrastrukturausfälle beeinträchtigt wurden. Gleichzeitig gilt:

• Die iranische Reaktion verläuft nicht lautlos – sie verlagert sich auf verbündete Gruppen und Hacktivisten
• Geringere Sichtbarkeit der Kernakteure ist zumindest teilweise auf Infrastrukturübergänge und ein bewusst unauffälligeres Betriebsmodell zurückzuführen
• Das traditionelle APT-Modell des Iran wird zunehmend von staatlich gelenkten Hacktivisten-Gruppen ergänzt oder ersetzt, was die Zuordnung und Einschätzung von Vorfällen erschwert
• Ein internes Dokument-Leak aus dem Jahr 2025 hat das iranische APT-Modell verstärkt in den Fokus von Forschern und Strafverfolgungsbehörden gerückt

Organisationen mit Bezug zur Region oder mit bekannter Ausrichtung durch iranische Akteure sollten folgende Maßnahmen priorisieren:

• Patchen von Edge-Geräten und exponierten Netzwerkkomponenten
• Aktualisierung veralteter Software und Systeme
• Systematische Behebung bekannter Schwachstellen (CVEs)
• Überprüfung von MDM-Zugängen und -Berechtigungen (wie der Stryker-Fall zeigt)

Grundlage dieses Berichts sind Daten der Augur Security Predictive Intelligence-Plattform sowie Open-Source-Informationen. Die Bewertung umfasst den Zeitraum 2024–2026 und bezieht sich auf die Akteure MuddyWater, OilRig/APT34, APT35/Charming Kitten, APT33/Peach Sandstorm, Cotton Sandstorm/Emennet Pasargad, CyberAv3ngers und Handala.

Entdecke mehr

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon

Hamsterrad Rebell – Cyber Talk