Iranische Hacker griffen südkoreanisches Elektronikunternehmen an

Iranische Hacker, die mit der Cyber-Spionagegruppe MuddyWater in Verbindung stehen, griffen Berichten zufolge einen großen südkoreanischen Elektronikhersteller im Rahmen einer umfassenderen globalen Angriffskampagne an. Sicherheitsforscher erklärten, dass die Operation Organisationen aus mehreren Branchen betraf, darunter Regierungsbehörden, Finanzinstitute, Industrieunternehmen, Flughäfen und Bildungseinrichtungen.

Forscher von Symantec ordneten die Aktivitäten MuddyWater zu, einer mit dem Iran verbundenen Bedrohungsgruppe, die auch unter Namen wie Seedworm und Static Kitten bekannt ist. Die Gruppe wurde bereits zuvor mit Cyber-Spionagekampagnen gegen kritische Infrastruktur, Telekommunikationsanbieter und staatliche Systeme in Verbindung gebracht.

Laut Ermittlern hielten sich die Angreifer im Februar 2026 etwa eine Woche lang im Netzwerk des südkoreanischen Unternehmens auf.

Angreifer nutzten legitime Software

Die Forscher erklärten, dass die Kampagne stark auf DLL-Sideloading-Techniken setzte, die darauf ausgelegt sind, Sicherheitswerkzeuge zu umgehen.

Die Angreifer missbrauchten Berichten zufolge legitime signierte Anwendungen, um schädliche DLL-Dateien innerhalb vertrauenswürdiger Prozesse zu laden. Laut Symantec umfasste die Kampagne Softwarekomponenten im Zusammenhang mit Produkten von Fortemedia und SentinelOne.

Ermittler erklärten, dass die Angreifer die kompromittierten Prozesse nutzten, um zusätzliche Malware zu verbreiten, dauerhaften Zugriff aufrechtzuerhalten und Informationen von infizierten Systemen zu sammeln.

Die Operation umfasste außerdem ChromElevator, ein Post-Exploitation-Werkzeug, das Daten aus Chromium-basierten Browsern extrahieren kann.

Die Forscher beobachteten während des gesamten Angriffs umfangreiche PowerShell-Aktivitäten. Laut Berichten nutzten die Angreifer Skripte für:

• Systemaufklärung
• Sammlung von Bildschirmaufnahmen
• Diebstahl von Zugangsdaten
• Einrichtung von Persistenzmechanismen
• Verbreitung von Malware
• SOCKS5-Tunneling

Die Kampagne setzte zudem Node.js-basierte Loader ein, um Schadcode auszuführen und die Kommunikation innerhalb kompromittierter Umgebungen zu verwalten.

Südkoreanisches Unternehmen Ziel von Cyber-Spionage

Forscher von Symantec erklärten, dass der Angriff auf das südkoreanische Elektronikunternehmen zwischen dem 20. und 27. Februar 2026 stattfand. Die betroffene Organisation wurde nicht öffentlich genannt.

Die Ermittler berichteten, dass sich die Angreifer zunächst auf Aufklärungsmaßnahmen konzentrierten, bevor sie zu Zugangsdiebstahl und langfristigen Persistenztechniken übergingen.

Laut Forschern umfasste die Operation:

• Gefälschte Windows-Anmeldedialoge
• Diebstahl von Registry-Daten
• Missbrauch von Kerberos-Tickets
• Registry-basierte Persistenz
• Geplante Beaconing-Aktivitäten

Die Angreifer starteten die sideloaded Binärdateien Berichten zufolge mehrfach neu, um den Zugriff auf die kompromittierten Systeme aufrechtzuerhalten.

Die Forscher erklärten außerdem, dass die Gruppe sendit.sh, einen legitimen File-Sharing-Dienst, für die Datenexfiltration nutzte. Diese Methode half den Angreifern wahrscheinlich dabei, schädlichen Datenverkehr in normalem Cloud-bezogenem Traffic zu verstecken und das Risiko einer Entdeckung zu verringern.

MuddyWater erweitert seine Operationen weiter

Die Forscher beschrieben die Kampagne aufgrund ihrer breiten internationalen Zielauswahl und der zunehmend auf Tarnung ausgerichteten Techniken als bemerkenswert.

Historisch konzentrierten sich MuddyWater-Operationen vor allem auf Regierungsbehörden und Telekommunikationsinfrastruktur im Nahen Osten. Laut Ermittlern weitete die aktuelle Kampagne ihre Aktivitäten jedoch auf weitere Branchen und Regionen aus.

Die Operation richtete sich Berichten zufolge gegen:

• Regierungsorganisationen
• Industriehersteller
• Flughäfen
• Finanzinstitute
• Bildungseinrichtungen

Sicherheitsforscher gehen davon aus, dass die Kampagne stark auf Cyber-Spionage, industrielle Informationsbeschaffung und langfristige Zugriffsmöglichkeiten ausgerichtet war.

Der Angriff verdeutlicht außerdem, wie staatlich unterstützte Bedrohungsakteure zunehmend legitime Software, Cloud-Dienste und vertrauenswürdige Unternehmenswerkzeuge nutzen, um Sicherheitsmaßnahmen zu umgehen.

Fazit

Die jüngste Kampagne iranischer Hacker zeigt, wie staatlich unterstützte Cyber-Spionagegruppen ihre auf Tarnung ausgerichteten Angriffstechniken weiter verfeinern. Durch den Missbrauch legitimer Software und vertrauenswürdiger Anwendungen konnten die Angreifer Berichten zufolge den Zugriff auf mehrere Organisationen aufrechterhalten und gleichzeitig das Risiko einer Entdeckung minimieren.

Der Angriff auf den großen südkoreanischen Elektronikhersteller verdeutlicht zudem die wachsenden Sorgen rund um industrielle Cyber-Spionage und Informationsbeschaffung innerhalb globaler Lieferketten. Während Bedrohungsgruppen ihre Taktiken weiterentwickeln, könnten Unternehmen zunehmend Schwierigkeiten haben, langfristige Kompromittierungen innerhalb ihrer Netzwerke zu erkennen.