Irans Cyberoperationen: Was Verteidiger über staatlich gesteuerte Bedrohungsakteure wissen müssen

Staatlich gesteuerte iranische Cyberakteure richten sich zunehmend gegen Ziele im Nahen Osten, in den USA und Europa. Check Point Research analysiert die wichtigsten Bedrohungsgruppen, ihre aktuellen Methoden und gibt Empfehlungen für Verteidiger.

Angesichts der anhaltenden geopolitischen Spannungen rund um den Iran gewinnen Cyberoperationen als Ergänzung zu politischem und militärischem Druck an Bedeutung. Das iranische Bedrohungsökosystem besteht aus mehreren Akteursgruppen, die mit staatlichen Institutionen wie dem Islamischen Revolutionsgarde-Korps (IRGC) und dem Ministerium für Geheimdienst und Sicherheit (MOIS) verbunden sind – ergänzt durch sogenannte Hacktivisten-Gruppen, die eine plausible Abstreitbarkeit ermöglichen.

Die verfolgten Ziele dieser Gruppen lassen sich in drei Kategorien einteilen: Spionage zur Informationsgewinnung, disruptive Aktionen wie DDoS-Angriffe und Datenlöschprogramme sowie Informationsoperationen, bei denen Datenlecks mit koordinierter Online-Verstärkung kombiniert werden. Sicherheitsexperten gehen davon aus, dass diese Aktivitäten im Zuge der aktuellen Konfliktsituation zunehmen werden – nicht nur im Nahen Osten, sondern auch in Ländern, die der Iran als Gegner betrachtet.

Cotton Sandstorm: Schnellreaktionen und Einflussoperationen

Cotton Sandstorm – auch bekannt unter den Namen Emennet Pasargad, Aria Sepehr Ayandehsazan, MarnanBridge oder Haywire Kitten – ist eine mit dem IRGC assoziierte Gruppe, die auf kombinierte Cyber- und Einflussoperationen spezialisiert ist. Ihr Repertoire umfasst Website-Verunstaltungen, DDoS-Angriffe, Konto-Übernahmen und Datendiebstahl, die anschließend über gefälschte Online-Identitäten im Sinne von Hack-and-Leak-Kampagnen amplifiziert werden.

In jüngster Zeit weitete die Gruppe ihre Aktivitäten über Israel hinaus auf die Golfregion aus. Dokumentierte Vorfälle umfassen den unautorisierten Zugriff auf einen US-amerikanischen IPTV-Streaming-Dienst zur Verbreitung KI-generierter Kriegsberichterstattung sowie wiederholte Angriffe auf bahrainische Regierungseinrichtungen. Als Malware kommt dabei regelmäßig der modulare Infostealer WezRat zum Einsatz, der über Spearphishing-Kampagnen verteilt wird, die sich als dringende Software-Updates tarnen. In einigen Fällen folgte der Einsatz der Ransomware WhiteLock, bislang vorrangig gegen israelische Ziele.

Bezeichnend für die reaktive Natur dieser Gruppe: Einen Tag nach Beginn des aktuellen Konflikts reaktivierte Cotton Sandstorm die seit über einem Jahr inaktive Online-Persona „Altoufan Team“ mit Fokus auf Bahrain.

Educated Manticore: Gezielte Identitätsangriffe auf Einzelpersonen

Educated Manticore ist mit dem Geheimdienstarm des IRGC (IRGC-IO) verknüpft und überschneidet sich mit den bekannten APT-Clustern APT35 und APT42 (auch „Charming Kitten“). Die Gruppe verfolgt einen personalisierten Ansatz: Im Fokus stehen Journalisten, Forscher, Akademiker, Sicherheitsexperten sowie im Ausland lebende Oppositionelle – also Personen mit privilegiertem Zugang zu sensiblen Informationen oder Entscheidungsträgern.

Aktuelle Kampagnen setzen auf Spearphishing-E-Mails und Social Engineering über Messaging-Dienste. Phishing-Kits imitieren dabei bekannte Plattformen wie WhatsApp, Microsoft Teams oder Google Meet, um Anmeldedaten und Sitzungstoken zu stehlen. In einigen Fällen wurden auch Standortdaten der Zielpersonen abgegriffen. Eine jüngst beobachtete Kampagne richtete sich gegen Aktivisten und prominente Persönlichkeiten im Nahen Osten und in den USA.

MuddyWater: Langfristige Spionage mit bewährten Methoden

MuddyWater – alternativ Mango Sandstorm oder Static Kitten – wird dem MOIS zugeordnet und ist seit Jahren für Spionagekampagnen gegen Regierungen, Telekommunikationsanbieter, Energieunternehmen und privatwirtschaftliche Organisationen im Nahen Osten bekannt. Die Gruppe sichert sich dauerhaften Zugang zu Unternehmensnetzwerken und nutzt diesen zur systematischen Informationssammlung.

Charakteristisch ist die Nutzung legitimer Fernwartungstools (RMM-Software), die über Filesharing-Dienste verteilt und mittels groß angelegter Phishing-Wellen an zahlreiche Empfänger versendet werden. Für höherwertige Ziele kommen kurzlebige, maßgeschneiderte Werkzeuge zum Einsatz – teilweise offenbar unter Zuhilfenahme von KI-Werkzeugen entwickelt. Die Grundtaktiken blieben über die Jahre konstant: Einsatz von Windows-Boardmitteln wie PowerShell und WMI, Missbrauch legitimer Verwaltungstools sowie Anmeldedatendiebstahl zur seitlichen Ausbreitung im Netzwerk.

Void Manticore / Handala: Psychologischer Druck und Datenlecks

Die Hacktivisten-Identität „Handala Hack Team“ tauchte Ende 2023 auf und wird als eine von mehreren Online-Personas von Void Manticore gewertet – einem mit dem MOIS in Verbindung stehenden Akteur. Die Gruppe setzt auf psychologische Wirkung: schnelle Einbrüche in schwach gesicherte Systeme, Hack-and-Leak-Operationen und die zeitlich gezielte Veröffentlichung gestohlener Daten.

Primärziel ist Israel, wobei gelegentlich auch andere Regionen in den Fokus geraten. Auffällig ist das Interesse an Lieferketten: IT-Dienstleister werden kompromittiert, um nachgelagerte Opfer zu erreichen. Seit Januar wurden Aktivitäten beobachtet, die von Starlink-IP-Bereichen ausgingen und extern erreichbare Anwendungen auf Fehlkonfigurationen und schwache Zugangsdaten untersuchten – parallel zu landesweiten Protesten im Iran.

Agrius: Zerstörende Operationen unter falscher Flagge

Agrius – auch bekannt als Pink Sandstorm oder Agonizing Serpens – ist seit 2020 aktiv und ebenfalls dem MOIS zugeordnet. Die Gruppe führt unter wechselnden Alias-Identitäten zerstörerische Angriffe durch und tarnt dabei Datenlöschkampagnen als vermeintliche Ransomware-Angriffe.

Typischer Angriffsweg: öffentlich erreichbare Webserver, häufig über israelische kommerzielle VPN-Infrastrukturen, gefolgt vom Einschleusen von ASPX-Webshells. Zur Aufrechterhaltung des Zugangs und zur lateralen Bewegung werden Living-off-the-Land-Techniken sowie öffentlich verfügbare Tools eingesetzt. Während des zwölftägigen Israel-Iran-Konflikts im Juni 2025 wurde beobachtet, dass mit Agrius assoziierte Infrastruktur aktiv nach angreifbaren Kameras in Israel suchte – vermutlich zur Unterstützung der Schadensbewertung nach Angriffen.

Empfehlungen für Verteidiger

Da die genannten Gruppen ähnliche Methoden verwenden, lassen sich gezielte Gegenmaßnahmen ableiten:

• VPN-Datenverkehr überwachen: Datenverkehr von kommerziellen VPN-Ausgangspunkten (Mullvad, NordVPN, PIA, ProtonVPN) sollte priorisiert analysiert werden.
• Exponierte Geräte absichern: IP-Kameras und andere mit dem Internet verbundene Ressourcen auf Standard-Zugangsdaten und ungepatchte Schwachstellen prüfen.
• Phishing-resistente MFA einsetzen: Für Google- und Microsoft-365-Konten sollte, wo möglich, hardware-basierte Mehrfachauthentifizierung erzwungen werden.
• Unaufgeforderte Kontaktaufnahmen hinterfragen: Anfragen für Interviews, Kooperationen oder Meetings von unbekannten Personen oder über ähnliche Domains sind als potenzielle Phishing-Versuche zu werten.
• Softwareinstallationen reglementieren: Unbekannte Software, insbesondere aus E-Mail-Anhängen, sollte nicht installiert werden.
• Authentifizierungsanomalien überwachen: Ungewöhnliche Anmeldungen und wiederverwendete Sitzungstoken sind Frühwarnsignale für kompromittierte Konten.

Die Priorisierung dieser Maßnahmen kann dazu beitragen, opportunistische Zugriffe zu verhindern und Sicherheitsvorfälle einzudämmen, bevor sie öffentlich wirksam werden oder den Geschäftsbetrieb beeinträchtigen.

Auch interessant:

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon

Hamsterrad Rebell – Cyber Talk