Irans MOIS kooperiert mit Cyberkriminellen – staatliche Hackergruppen nutzen kriminelle Infrastruktur

Der iranische Geheimdienst MOIS geht beim Einsatz von Cyberoperationen einen neuen Weg: Statt kriminelle Methoden lediglich zu imitieren, kooperieren staatlich gesteuerte Hackergruppen inzwischen direkt mit dem Cyberkriminellen-Ökosystem. Das zeigt eine aktuelle Analyse von Check Point, die mehrere konkrete Fälle dieser Entwicklung dokumentiert.

Iranische Akteure, die dem Ministerium für Geheimdienst und Sicherheit (MOIS) zugerechnet werden, nutzen seit Jahren Hacktivismus und vorgetäuschte Cyberkriminalität als Tarnung für staatlich gelenkte Angriffe. Das Vorgehen hat sich jedoch verändert: Anstatt kriminelle Identitäten lediglich anzunehmen, werden kriminelle Tools, Infrastruktur und Affiliate-Modelle nun aktiv in die eigenen Operationen eingebunden.

Dieser Wandel bietet den Akteuren zwei wesentliche Vorteile:

• Die operativen Fähigkeiten werden durch Zugang zu ausgereifter krimineller Malware und stabiler Infrastruktur ausgebaut
• Die Zuordnung von Angriffen zu staatlichen Stellen wird deutlich erschwert, da echte Überschneidungen mit kriminellen Gruppen entstehen

Void Manticore und der Infostealer Rhadamanthys

Void Manticore – auch bekannt unter der Hacktivisten-Persona „Handala“ – ist eine der aktivsten iranischen APT-Gruppen (Advanced Persistent Threat). Die Gruppe operierte unter anderem unter dem Namen „Homeland Justice“ bei Angriffen auf Albanien sowie als „Handala“ bei Operationen gegen israelische Ziele.

Am 11. März wurde das US-amerikanische Medizintechnikunternehmen Stryker Opfer eines sogenannten Wiper-Angriffs, bei dem Daten auf Zielsystemen gezielt zerstört werden. Die Verantwortung übernahm „Handala“ – tatsächlich handelt es sich dabei um eine Tarnidentität von Void Manticore.

Neu ist dabei der Einsatz des kommerziellen Infostealers Rhadamanthys, der in Darknet-Foren vertrieben wird. Rhadamanthys wird von einer Vielzahl von Bedrohungsakteuren eingesetzt und hat sich durch seine technische Architektur und regelmäßige Weiterentwicklung etabliert. Void Manticore kombinierte den Infostealer mit einem eigenen Wiper-Tool in Phishing-Kampagnen, die unter anderem Software-Updates von F5 imitierten.

MuddyWater: Verbindungen zu kriminellen Malware-Clustern

MuddyWater ist eine weitere MOIS-nahe Gruppe, die laut der US-Behörde CISA als Unterorganisation des iranischen Geheimdienstes eingestuft wird. Die Gruppe führt seit Jahren Spionagekampagnen durch, die sich gegen Regierungsstellen sowie Unternehmen aus den Bereichen Telekommunikation, Verteidigung und Energie richten.

Aktuelle Analysen zeigen Überschneidungen mit zwei kriminellen Malware-Clustern:

Tsundere-Botnetz (auch: DinDoor)

• Erstmals Ende 2025 identifiziert und später mit MuddyWater in Verbindung gebracht
• Basiert auf Node.js- und JavaScript-Skripten zur Codeausführung auf kompromittierten Systemen
• Bei Erkennung der Node.js-Umgebung wechselt das Botnetz auf die Laufzeitumgebung Deno – diese Variante wurde als „DinDoor“ bezeichnet
• Überschneidung mit MuddyWater bestätigt sich durch den Einsatz des Tools rclone für den Zugriff auf einen Wasabi-Server, der auf eine bekannte MuddyWater-IP-Adresse zurückgeführt werden konnte

Castle Loader (auch: FakeSet)

• FakeSet fungiert als Downloader für CastleLoader, ein Malware-as-a-Service-Angebot, das von mehreren Partnern genutzt wird
• Die Verbindung zu MuddyWater basiert auf gemeinsam verwendeten Code-Signing-Zertifikaten unter den Namen „Amy Cherne“ und „Donald Gay“
• Diese Zertifikate wurden sowohl für MuddyWater-Malware („StageComp“), Tsundere-Deno-Malware als auch CastleLoader-Varianten genutzt
• Laut Einschätzung der Analysten weist dies eher auf eine gemeinsame Bezugsquelle für die Zertifikate hin als auf eine formale Partnerschaft mit dem CastleLoader-Betreiber

Iranische Akteure als Ransomware-Affiliates: Der Fall Qilin

Im Oktober 2025 traf ein Angriff das israelische Shamir Medical Center. Zunächst als klassischer Ransomware-Vorfall eingestuft, kamen spätere israelische Einschätzungen zu dem Schluss, dass hinter dem Angriff mit dem Iran verbundene Akteure standen – eingebettet in das Partnerprogramm der Ransomware-as-a-Service-Gruppe Qilin.

Das Muster:

• Qilin stellt Ransomware-Infrastruktur und Tools externen Partnern bereit, die die Angriffe eigenständig durchführen
• Mit dem Iran verbundene Akteure nutzten dieses Modell, um einen strategisch motivierten Angriff unter kriminellem Deckmantel durchzuführen
• Der Angriff reiht sich laut Analysten in eine seit Ende 2023 laufende Kampagne des MOIS und der Hisbollah gegen israelische Krankenhäuser ein
• Die Teilnahme am Qilin-Affiliate-Programm diente nicht nur der Verschleierung, sondern bot auch operativen Mehrwert – insbesondere vor dem Hintergrund verschärfter Sicherheitsmaßnahmen nach früheren Vorfällen

Einordnung

Die dokumentierten Fälle zeigen ein konsistentes Muster: Cyberkriminalität ist für bestimmte iranische Akteure keine bloße Tarnung mehr, sondern eine funktionale operative Ressource. Der Einsatz kommerzieller Infostealer, die Beteiligung an Ransomware-Affiliate-Programmen und die Nutzung gemeinsamer Infrastruktur mit kriminellen Gruppen verbessern die technischen Möglichkeiten und erschweren gleichzeitig die Analyse und Zuordnung von Angriffen.

Das Muster hat Parallelen zur bereits bekannten Nutzung krimineller Netzwerke im physischen Bereich: Iranische Geheimdienste haben auch dort wiederholt auf kriminelle Mittelsmänner zurückgegriffen, um staatliche Ziele mit erhöhter Leugnungsmöglichkeit zu verfolgen. Offenbar wird dieselbe Logik nun auf den digitalen Raum übertragen.

Auch spannend:

 

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon

Hamsterrad Rebell – Cyber Talk