Iranske hackere rettet angrep mot sørkoreansk elektronikkfirma

Iranske hackere knyttet til cyberspionasjegruppen MuddyWater rettet angivelig angrep mot en stor sørkoreansk elektronikkprodusent under en bredere global inntrengningskampanje. Sikkerhetsforskere opplyste at operasjonen påvirket organisasjoner innen flere sektorer, inkludert myndigheter, finansinstitusjoner, industriselskaper, flyplasser og utdanningsorganisasjoner.

Forskere hos Symantec knyttet aktiviteten til MuddyWater, en Iran-tilknyttet trusselgruppe som også spores under navn som Seedworm og Static Kitten. Gruppen har tidligere blitt koblet til cyberspionasjekampanjer rettet mot kritisk infrastruktur, telekommunikasjonsselskaper og statlige systemer.

Ifølge etterforskere oppholdt angriperne seg inne i det sørkoreanske selskapets nettverk i omtrent én uke i februar 2026.

Angriperne brukte legitim programvare

Forskerne opplyste at kampanjen i stor grad benyttet DLL-sideloading-teknikker for å unngå oppdagelse fra sikkerhetsverktøy.

Angriperne misbrukte angivelig legitime signerte applikasjoner for å laste inn ondsinnede DLL-filer i pålitelige prosesser. Ifølge Symantec involverte kampanjen programvarekomponenter knyttet til produkter fra Fortemedia og SentinelOne.

Etterforskere opplyste at angriperne brukte de kompromitterte prosessene til å distribuere ytterligere skadevare, opprettholde tilgang og samle inn informasjon fra infiserte systemer.

Operasjonen involverte også ChromElevator, et post-utnyttelsesverktøy som kan hente ut data lagret i Chromium-baserte nettlesere.

Forskerne observerte omfattende PowerShell-aktivitet gjennom hele inntrengningen. Ifølge rapportene brukte angriperne skript til:

• Systemrekognosering
• Innsamling av skjermbilder
• Tyveri av legitimasjon
• Opprettelse av persistens
• Levering av skadevare
• SOCKS5-tunnellering

Kampanjen benyttet også Node.js-baserte lastere for å kjøre nyttelaster og håndtere kommunikasjon i kompromitterte miljøer.

Sørkoreansk selskap ble utsatt for cyberspionasje

Symantecs forskere opplyste at inntrengningen mot det sørkoreanske elektronikkselskapet fant sted mellom 20. og 27. februar 2026. Organisasjonen ble ikke offentlig identifisert.

Etterforskerne rapporterte at angriperne først fokuserte på kartlegging før de gikk videre til tyveri av legitimasjon og teknikker for langsiktig persistens.

Ifølge forskerne involverte operasjonen:

• Falske Windows-påloggingsvinduer
• Tyveri av registerdata
• Misbruk av Kerberos-billetter
• Registerbasert persistens
• Planlagt beaconing-aktivitet

Angriperne relanserte angivelig de sideloadede binærfilene flere ganger for å opprettholde tilgang til de kompromitterte systemene.

Forskerne opplyste også at gruppen brukte sendit.sh, en legitim fildelingstjeneste, til dataeksfiltrering. Taktikken hjalp sannsynligvis angriperne med å skjule ondsinnet trafikk blant normal skyrelatert aktivitet og redusere risikoen for oppdagelse.

MuddyWater fortsetter å utvide operasjonene sine

Forskerne beskrev kampanjen som bemerkelsesverdig på grunn av dens brede internasjonale målretting og stadig mer stealth-fokuserte teknikker.

Historisk har MuddyWater-operasjoner hovedsakelig fokusert på myndigheter og telekommunikasjonsinfrastruktur i Midtøsten. Etterforskerne opplyste imidlertid at den nyeste kampanjen utvidet seg til flere bransjer og regioner.

Operasjonen rettet seg angivelig mot:

• Offentlige organisasjoner
• Industriprodusenter
• Flyplasser
• Finansinstitusjoner
• Utdanningsorganisasjoner

Sikkerhetsforskere mener kampanjen hadde sterkt fokus på cyberspionasje, industriell etterretningsinnhenting og muligheter for langsiktig tilgang.

Inntrengningen viste også hvordan statstilknyttede trusselaktører i økende grad benytter legitim programvare, skytjenester og pålitelige bedriftsverktøy for å omgå sikkerhetsforsvar.

Konklusjon

Den nyeste kampanjen med iranske hackere viser hvordan statstilknyttede cyberspionasjegrupper fortsetter å forbedre stealth-baserte inntrengningsteknikker. Ved å misbruke legitim programvare og pålitelige applikasjoner klarte angriperne angivelig å opprettholde tilgang i flere organisasjoner samtidig som risikoen for oppdagelse ble redusert.

Angrepet mot den store sørkoreanske elektronikkprodusenten gjenspeiler også økende bekymringer rundt industriell cyberspionasje og etterretningsinnhenting i forsyningskjeder. Etter hvert som trusselgrupper fortsetter å utvikle taktikkene sine, kan organisasjoner møte stadig større utfordringer med å oppdage langvarig kompromitteringsaktivitet i bedriftsnettverk.