Iranske hackere målrettede sydkoreansk elektronikvirksomhed

Iranske hackere knyttet til cyberspionagegruppen MuddyWater målrettede angiveligt en stor sydkoreansk elektronikproducent under en bredere global indtrængningskampagne. Sikkerhedsforskere oplyste, at operationen påvirkede organisationer inden for flere sektorer, herunder myndigheder, finansielle institutioner, industrivirksomheder, lufthavne og uddannelsesorganisationer.

Forskere hos Symantec tilskrev aktiviteten til MuddyWater, en Iran-tilknyttet trusselsgruppe, som også spores under navne som Seedworm og Static Kitten. Gruppen er tidligere blevet forbundet med cyberspionagekampagner rettet mod kritisk infrastruktur, telekommunikationsudbydere og statslige systemer.

Ifølge efterforskere opholdt angriberne sig i den sydkoreanske virksomheds netværk i cirka én uge i februar 2026.

Angriberne benyttede legitim software

Forskerne oplyste, at kampagnen i høj grad benyttede DLL-sideloading-teknikker designet til at undgå opdagelse fra sikkerhedsværktøjer.

Angriberne misbrugte angiveligt legitime signerede applikationer til at indlæse ondsindede DLL-filer i betroede processer. Ifølge Symantec involverede kampagnen softwarekomponenter relateret til produkter fra Fortemedia og SentinelOne.

Efterforskere oplyste, at angriberne brugte de kompromitterede processer til at distribuere yderligere malware, opretholde adgang og indsamle information fra inficerede systemer.

Operationen involverede også ChromElevator, et post-exploitation-værktøj, der kan udtrække data lagret i Chromium-baserede browsere.

Forskerne observerede omfattende PowerShell-aktivitet gennem hele indtrængningen. Ifølge rapporterne brugte angriberne scripts til:

• Systemrekognoscering
• Indsamling af skærmbilleder
• Tyveri af legitimationsoplysninger
• Oprettelse af persistens
• Levering af malware
• SOCKS5-tunnellering

Kampagnen benyttede også Node.js-baserede loaders til at eksekvere payloads og håndtere kommunikation i kompromitterede miljøer.

Sydkoreansk virksomhed blev udsat for cyberspionage

Symantecs forskere oplyste, at indtrængningen mod den sydkoreanske elektronikvirksomhed fandt sted mellem 20. og 27. februar 2026. Organisationen blev ikke offentligt identificeret.

Efterforskerne rapporterede, at angriberne først fokuserede på rekognoscering, før de gik videre til tyveri af legitimationsoplysninger og teknikker til langsigtet persistens.

Ifølge forskerne involverede operationen:

• Falske Windows-loginprompter
• Tyveri af registreringsdatabase-data
• Misbrug af Kerberos-billetter
• Registreringsdatabasebaseret persistens
• Planlagt beaconing-aktivitet

Angriberne genstartede angiveligt de sideloadede binære filer flere gange for at opretholde adgang til de kompromitterede systemer.

Forskerne oplyste også, at gruppen brugte sendit.sh, en legitim fildelingstjeneste, til dataeksfiltrering. Taktikken hjalp sandsynligvis angriberne med at skjule ondsindet trafik blandt normal cloud-relateret aktivitet og reducere risikoen for opdagelse.

MuddyWater fortsætter med at udvide sine operationer

Forskerne beskrev kampagnen som bemærkelsesværdig på grund af dens brede internationale målretning og stadig mere stealth-fokuserede teknikker.

Historisk har MuddyWater-operationer primært fokuseret på myndigheder og telekommunikationsinfrastruktur i Mellemøsten. Efterforskerne oplyste dog, at den seneste kampagne udvidede sig til yderligere brancher og regioner.

Operationen målrettede angiveligt:

• Offentlige organisationer
• Industriproducenter
• Lufthavne
• Finansielle institutioner
• Uddannelsesorganisationer

Sikkerhedsforskere mener, at kampagnen havde stærkt fokus på cyberspionage, industriel efterretningsindsamling og muligheder for langsigtet adgang.

Indtrængningen demonstrerede også, hvordan statstilknyttede trusselsaktører i stigende grad benytter legitim software, cloud-tjenester og betroede virksomhedsværktøjer til at omgå sikkerhedsforsvar.

Konklusion

Den seneste kampagne med iranske hackere viser, hvordan statstilknyttede cyberspionagegrupper fortsætter med at forfine stealth-baserede indtrængningsteknikker. Ved at misbruge legitim software og betroede applikationer lykkedes det angriberne angiveligt at opretholde adgang til flere organisationer samtidig med, at risikoen for opdagelse blev reduceret.

Angrebet mod den store sydkoreanske elektronikproducent afspejler også voksende bekymringer omkring industriel cyberspionage og efterretningsindsamling i forsyningskæder. Efterhånden som trusselsgrupper fortsætter med at udvikle deres taktikker, kan organisationer stå over for stigende udfordringer med at opdage langvarig kompromitteringsaktivitet i virksomhedsnetværk.