Thought Leadership
Die Hackergruppe MuddyWater infiltriert Industrie- und Finanzunternehmen in neun Ländern, indem sie Schadcode über legitime Systemdateien einschleust.
Die unter dem Namen MuddyWater bekannte iranische Hackergruppe wird mit einer neuen, weltweit koordinierten Cyberspionage-Kampagne in Verbindung gebracht. Nach gemeinsamen Analysen der Bedrohungsteams von Symantec und Carbon Black waren im ersten Quartal des Jahres 2026 mindestens neun Organisationen in neun verschiedenen Ländern auf vier Kontinenten von den zielgerichteten Angriffen betroffen. Das Spektrum der ins Visier genommenen Branchen ist breit gefächert und umfasst die Industrie- und Elektronikfertigung, Bildungseinrichtungen, Behörden des öffentlichen Sektors, Finanzdienstleister sowie professionelle Beratungsunternehmen.
Zu den prominentesten Opfern gehört ein großer südkoreanischer Elektronikhersteller, in dessen internem Netzwerk sich die Angreifer im Februar 2026 über eine Woche lang unbemerkt bewegen konnten. Darüber hinaus dokumentierten die Sicherheitsanalysten erfolgreiche Einbrüche bei einem internationalen Flughafen im Nahen Osten, bei industriellen Fertigungsbetrieben in Südostasien sowie bei einem Finanzdienstleister in Lateinamerika. Die weite geografische und sektorale Streuung verdeutlicht die gestiegene operative Kapazität der Akteure.
Technische Ausnutzung legitimer Systemkomponenten
Ein zentrales Merkmal der aktuellen Angriffskette ist der massive Einsatz des sogenannten DLL-Side-Loadings. Bei diesem Verfahren missbrauchen die Angreifer das reguläre Ladeverhalten von Betriebssystemen, um schadhaften Code auszuführen, der als harmlose Software getarnt ist. Broadcoms Cybersecurity-Teams stellten fest, dass MuddyWater hierfür primär digital signierte und somit vertrauenswürdige Binärdateien von Drittanbietern nutzt. Konkret betrifft dies die Anwendung fmapp.exe von Fortemedia sowie die Datei sentinelmemoryscanner.exe, die regulär zu einem Sicherheits- und Antivirenprodukt von SentinelOne gehört.
Die gezielte Zweckentfremdung einer bekannten Sicherheitssoftware gilt in Fachkreisen als kalkulierte Strategie, da signierte Systemdateien von herkömmlichen, signaturbasierten Endpoint-Detection-and-Response-Systemen oft von der Tiefenprüfung ausgenommen werden. Über fmapp.exe schleusen die Angreifer eine manipulierte fmapp.dll ein, deren Code eine Verbindung zu einer kontrollierten IP-Adresse aufbaut. Über das Werkzeug von SentinelOne wird wiederum die schadhafte Datei sentinelagentcore.dll im Systemspeicher verankert.
Datendiebstahl über ChromElevator und PowerShell-Skripte
Beide schadhaften DLL-Dateien dienen als Trägersysteme für ein quelloffenes Werkzeug namens ChromElevator. Diese Software wurde speziell dafür entwickelt, vertrauliche Benutzerdaten wie Passwörter, Sitzungscookies und Zahlungskartendaten systematisch aus Webbrowsern zu extrahieren, die auf der Chromium-Architektur basieren. Dem Tool gelingt es dabei, die modernen Schutzmechanismen der anwendungsgebundenen Verschlüsselung, der App-Bound Encryption, vollständig zu umgehen. Neben dem Browser-Infiltrationswerkzeug setzt MuddyWater auf eine Kombination aus Node.js-Umgebungen und PowerShell-Skripten.
Über ein auf node.exe basierendes Implantat injizieren die Täter Code-Sequenzen, die für die interne Netzwerkerkundung, das Erstellen von Bildschirmfotos sowie den Diebstahl der SAM-Datenbank zur lokalen Rechteausweitung zuständig sind. Um den Datenabfluss zu verschleiern, richten die Hacker SOCKS5-Reverse-Proxy-Tunnel ein. Die exfiltrierten Datensätze werden in mindestens einem nachgewiesenen Fall auf dem öffentlichen Dateitransferdienst sendit.sh zwischengelagert, um den direkten Abfluss zu einem bekannten Server der Angreifer zu verbergen und Entdeckungen durch Anomalie-Filter im Netzwerkverkehr zu minimieren.
Angriffe deuten auf implantatgesteuerte Automatisierung hin
Die Auswertung der Angriffe beim südkoreanischen Elektronikkonzern zeigt, dass die Hacker die Aufklärungsprozesse und die wiederholte Ausführung der manipulinerten Binärdateien in festen Zeitabständen steuerten. Die IT-Sicherheitsforscher betonen, dass dieser Rhythmus stark auf eine rein implantatgesteuerte Automatisierung hindeutet, anstatt auf die permanente manuelle Präsenz eines menschlichen Operators im System. In der Gesamtbetrachtung zeigt die Historie der Kampagnen von MuddyWater eine deutliche Entwicklung hin zu leiseren und disziplinierteren Operationen.
Obwohl die verwendeten Techniken für sich genommen nicht neuartig sind, belegt ihre Kombination eine signifikante Steigerung der operativen Hygiene im Vergleich zu den Aktivitäten, die vor zwei oder drei Jahren unter dem Namen Seedworm dokumentiert wurden. Diese Professionalisierung fällt zeitlich mit verschärften internationalen Sanktionen zusammen. Der Europäische Rat verhängte kürzlich Sanktionen gegen das iranische Unternehmen Emennet Pasargad, das mit dem Cyber-Elektronischen Kommando der iranischen Revolutionsgarden in Verbindung steht. Dem Unternehmen werden Cyber-Operationen während der Olympischen Spiele 2024 in Paris sowie massive Desinformationskampagnen und Sabotageakte gegen kritische Infrastrukturen in den USA und Europa vorab vorgeworfen.
Parallele Zerstörungskampagnen und das Werkzeug FileFiend
Flankiert werden diese Spionageaktivitäten von einer parallel verlaufenden Kampagne im Zeitraum zwischen Ende März und Anfang April 2026. Ein von Gambit Security veröffentlichter Bericht bringt diese Infrastruktur direkt mit dem iranischen Ministerium für Geheimdienste und Sicherheit in Verbindung, obwohl die Taten im Internet unter dem Pseudonym Ababil of Minab beansprucht wurden. Diese Angriffe richteten sich gegen Ziele in den USA, Israel, Saudi-Arabien und der Türkei. Während bei Opfern in Israel und der Türkei – darunter ein Medienunternehmen, eine Hochschule und ein Versicherungsmakler – primär Spionage betrieben wurde, kam es bei mindestens zwei Unternehmen aus dem US-amerikanischen Energie- und Logistiksektor zu zerstörerischen Operationen.
Die Angreifer löschten gezielt Festplattenpartitionen und vernichteten vorhandene Datensicherungen, um die Betriebsabläufe dauerhaft zu lähmen. Bei den reinen Spionagevorfällen setzten die Akteure ein maßgeschneidertes, in C++ geschriebenes Datensammlungswerkzeug namens FileFiend ein. Diese Software ist in der Lage, lokale Laufwerke sowie SMB-Netzwerkfreigaben systematisch zu durchsuchen und die identifizierten Dateien direkt an einen hartcodierten Befehlsserver zu übertragen. Alternativ komprimieren die Täter die Daten in RAR-Archive im Web-Root der öffentlichen Firmenwebseite des Opfers, um sie anschließend über den Kommandozeilen-Download-Beschleuniger Axel und Proxy-Ketten unbemerkt abzusaugen.
