Eine staatlich unterstützte iranische Hackergruppe verbrachte Tage im Netzwerk eines großen südkoreanischen Elektronikherstellers, als Teil einer umfassenderen Cyber-Spionagekampagne, die Organisationen in mehreren Ländern ins Visier nahm, sagen Forscher.
According to Symantec’s Threat Hunter Team Die Angriffe wurden von MuddyWater, auch bekannt als Seedworm oder Static Kitten, einer Bedrohungsgruppe, die mit dem iranischen Ministerium für Nachrichtendienste und Sicherheit (MOIS) verbunden ist, durchgeführt. Forscher sagen, dass die Operation mindestens neun Organisationen in Asien, dem Nahen Osten, Europa und Südamerika ins Visier genommen hat.
Zu den Opfern sollen Regierungsbehörden, ein internationaler Flughafen im Nahen Osten, Industriehersteller, Finanzdienstleister, Bildungseinrichtungen und ein großes südkoreanisches Elektronikunternehmen gehören, dessen Identität nicht öffentlich bekannt gegeben wurde.
Symantec sagt, dass sich die Angreifer etwa eine Woche lang zwischen dem 20. und 27. Februar 2026 im Netzwerk des koreanischen Herstellers aufhielten. In dieser Zeit führten die Hacker Aufklärung durch, machten Screenshots, luden zusätzliche Malware herunter, zählten Antivirentools auf, stahlen Zugangsdaten und etablierten Persistenz in der Umgebung.
Die Kampagne stützte sich stark auf DLL-Sideloading, eine Technik, bei der legitime signierte Anwendungen missbraucht werden, um bösartigen Code zu laden. Forscher fanden heraus, dass die Angreifer legitime Binärdateien verwendeten, darunter Fortemedias fmapp.exe Audio-Utility und SentinelOnes sentinelmemoryscanner.exe, um bösartige DLL-Dateien auszuführen, ohne Sicherheitsabwehrmechanismen auszulösen.
Die bösartigen DLLs enthielten ein Post-Exploitation-Tool namens ChromE Levator, eine Schadsoftware, die dazu diente, sensible Informationen zu stehlen, die in Chromium-basierten Browsern wie Google Chrome Microsoft Edge gespeichert waren.
Die Forscher beobachteten während der Angriffe auch umfangreiche PowerShell-Aktivitäten. Die Skripte wurden für Systemaufklärung, Screenshot-Sammlung, Diebstahl von Zugangsdaten, Persistenz und zur Erstellung von SOCKS5-Proxy-Tunneln verwendet, die es den Angreifern ermöglichten, den Datenverkehr durch kompromittierte Systeme zu leiten. Im Gegensatz zu einigen früheren MuddyWater-Kampagnen wurden die PowerShell-Nutzlasten über Node.js-basierte Loader gesteuert.
Symantec ist der Ansicht, dass die Kampagne eher von Informationen als finanziell motiviert war. Die Forscher sagten, die Angreifer schienen sich auf industrielle Spionage, Diebstahl geistigen Eigentums und den Zugang zu nachgelagerten Unternehmensnetzwerken zu konzentrieren, die mit den kompromittierten Organisationen verbunden sind.
Ein weiteres bemerkenswertes Detail war die Nutzung öffentlicher, cloudbasierter Dateiübertragungsdienste durch die Angreifer, um bösartige Aktivitäten mit normalem Netzwerkverkehr zu verbinden. Die Datenexfiltration erfolgte Berichten zufolge über sendit.sh, was der Operation half, nicht entdeckt zu werden, da sie legitimer Cloud-Nutzung ähnelte.
MuddyWater wurde zuvor mit Spionagekampagnen in Verbindung gebracht, die sich gegen Telekommunikationsunternehmen, Rüstungsunternehmen, Regierungsbehörden und Infrastrukturbetreiber im Nahen Osten und Asien richteten. Das US Cyber Command und das FBI haben der Gruppe öffentlich mehrere frühere Operationen zugeschrieben.