Thought Leadership
Irans Hacker-Gruppe MuddyWater nutzt eine neue Täuschungstaktik: Mit gefälschten Ransomware-Drohungen verdeckt sie gezielte Spionage in westlichen Unternehmen.
In einem ausführlichen Analysebericht dokumentiert das IT-Sicherheitsunternehmen Rapid7 eine raffinierte Kampagne der dem Iran zugeschriebenen APT-Gruppe (Advanced Persistent Threat) MuddyWater. Die Angreifer führten zu Beginn des Jahres 2026 Operationen durch, die gezielt den Anschein eines kriminellen Ransomware-Überfalls erweckten. Tatsächlich handelte es sich jedoch um eine klassische Cyberspionage-Mission. Durch die Nutzung der Identität der „Chaos Ransomware“ als Ablenkungsmanöver versuchten die staatlichen Akteure, die Aufmerksamkeit der IT-Sicherheitsteams von ihrer langfristigen Infiltration abzulenken.
Infiltration über Microsoft Teams
Der Angriffsweg zeichnete sich durch eine hohe soziale Kompetenz aus. Die Hacker kontaktierten Mitarbeiter der Zielorganisationen direkt über Microsoft Teams. Dabei gaben sie sich als legitimes Support-Personal oder Administratoren aus und überredeten die Beschäftigten zu interaktiven Bildschirmfreigabe-Sitzungen. Diese Methode umgeht viele technische Barrieren, da sie auf das Vertrauen der Nutzer setzt.
Während dieser Sitzungen erhielten die Angreifer direkten Zugriff auf die Endgeräte. Sie wiesen die Nutzer an, sensible Anmeldedaten in lokal erstellte Textdateien einzugeben, die anschließend sofort exfiltriert wurden. Darüber hinaus manipulierten sie bestehende Multifaktor-Authentifizierungen (MFA), um sich dauerhaften Zugriff auf VPN-Konfigurationen und andere geschützte Netzwerkbereiche zu verschaffen. Zur weiteren Absicherung ihres Zugangs installierten sie gängige Fernwartungswerkzeuge wie AnyDesk.
Strategische Täuschung durch „Chaos Ransomware“
Der entscheidende Teil der Operation war das bewusste Legen falscher Spuren. Nachdem die Angreifer sensible Daten entwendet hatten, schalteten sie in einen Erpressungsmodus. Sie versendeten E-Mails an eine Vielzahl von Mitarbeitern, in denen sie behaupteten, die Systeme verschlüsselt zu haben und drohten mit der Veröffentlichung der Daten auf der Leak-Seite der „Chaos Ransomware“. Tatsächlich wurde das betroffene Unternehmen sogar auf der entsprechenden Darknet-Seite als Opfer gelistet.
Die forensische Analyse von Rapid7 ergab jedoch ein überraschendes Ergebnis: Auf keinem der kompromittierten Systeme wurde jemals eine verschlüsselnde Schadsoftware ausgeführt. Die Drohungen waren eine reine Täuschung (False Flag). Diese Taktik dient dazu, die Incident-Response-Teams der Opfer unter Zeitdruck zu setzen. Während die Verteidiger damit beschäftigt sind, ein vermeintliches Datenleck abzuwenden oder über Lösegelder zu verhandeln, bleibt die eigentliche Infrastruktur für den langfristigen Informationsabfluss, also die Spionage, oft unentdeckt im Hintergrund aktiv.
Dauerhafte Präsenz durch Remote-Access-Tools
Um eine langfristige Kontrolle über das Netzwerk zu behalten, installierten die iranischen Hacker zusätzliche Backdoors. Neben legitimen Tools wie AnyDesk kam das spezialisierte Fernzugriffswerkzeug „DWAgent“ zum Einsatz. Diese Programme ermöglichen es den Akteuren, jederzeit ins Netzwerk zurückzukehren, lateral zu weiteren Servern vorzudringen und Datenbestände kontinuierlich zu überwachen.
Durch die Nutzung von RDP-Sitzungen (Remote Desktop Protocol) konnten sich die Täter innerhalb der Infrastruktur wie normale Administratoren bewegen. Diese Strategie der „Living off the Land“-Techniken erschwert die Unterscheidung zwischen legitimen Wartungsarbeiten und bösartigen Aktivitäten erheblich. Die Experten von Rapid7 stellten fest, dass diese Phase der Operation ausschließlich der Informationsgewinnung und der Vorbereitung weiterer Spionageaktivitäten diente.
Technischer Beleg: Der Darkcomp-RAT
Ein zentrales Beweisstück für die Urheberschaft des Iran war der Einsatz des Remote Access Trojans (RAT) namens „Darkcomp“ (oft als Game.exe ausgeführt). Darkcomp ist eine spezialisierte Malware, die Befehlsausführungen, Dateimanipulationen und die Aufrechterhaltung einer dauerhaften Shell unterstützt.
Die technische Analyse ergab zwei eindeutige Verbindungen zu früheren iranischen Operationen:
- Digitale Signaturen: Die Malware war mit einem Zertifikat signiert, das bereits zweifelsfrei MuddyWater-Aktivitäten zugeordnet wurde.
- C2-Infrastruktur: Die Kommunikation der Schadsoftware erfolgte über Domänen, die von MuddyWater kontrolliert werden und deren Command-and-Control-Server (C&C) bereits in anderen staatlichen Kampagnen identifiziert wurden. Diese technischen Fakten untermauern die Attribution des Angriffs auf staatliche Stellen im Iran.
Nicht Finanz-, sondern Informationsdiebstahl gewollt
Die Gruppe MuddyWater, die in der Sicherheits-Community auch unter Namen wie Mango Sandstorm, Mercury, Seedworm oder Static Kitten bekannt ist, wurde von US-Behörden offiziell dem iranischen Ministerium für Geheimdienste und Sicherheit (MOIS) zugeordnet. Ihre Hauptaufgabe besteht in der Durchführung von Spionagekampagnen gegen strategische Ziele im Ausland, insbesondere in den Bereichen Regierung, Telekommunikation und Öl- und Gaswirtschaft.
Die aktuelle Kampagne zeigt laut Rapid7 eine konsequente Weiterentwicklung der Tarnungstechniken. Der Einsatz krimineller Ransomware-Muster als Maskerade ist ein effektives Mittel, um staatliche Absichten zu verbergen und die Urheberschaft zu verschleiern (Obfuskation). Das primäre Ziel bleibt die Gewinnung strategischer Vorteile durch Informationsdiebstahl, während die finanziellen Forderungen lediglich als Rauchvorhang dienen.
