Iranska hackare riktade in sig på sydkoreanskt elektronikföretag

Iranska hackare kopplade till cyberspionagegruppen MuddyWater riktade enligt uppgifter in sig på en stor sydkoreansk elektroniktillverkare under en bredare global intrångskampanj. Säkerhetsforskare uppgav att operationen påverkade organisationer inom flera sektorer, däribland myndigheter, finansinstitut, industriföretag, flygplatser och utbildningsorganisationer.

Forskare på Symantec kopplade aktiviteten till MuddyWater, en Irananknuten hotgrupp som även spåras under namn som Seedworm och Static Kitten. Gruppen har tidigare förknippats med cyberspionagekampanjer riktade mot kritisk infrastruktur, telekombolag och statliga system.

Enligt utredare befann sig angriparna inne i det sydkoreanska företagets nätverk i ungefär en vecka under februari 2026.

Angriparna använde legitim programvara

Forskarna uppgav att kampanjen i stor utsträckning använde DLL-sideloading-tekniker för att undvika upptäckt av säkerhetsverktyg.

Angriparna missbrukade enligt uppgifter legitima signerade applikationer för att ladda skadliga DLL-filer i betrodda processer. Enligt Symantec involverade kampanjen programvarukomponenter kopplade till produkter från Fortemedia och SentinelOne.

Utredare uppgav att angriparna använde de komprometterade processerna för att distribuera ytterligare skadlig kod, behålla åtkomst och samla information från infekterade system.

Operationen involverade också ChromElevator, ett post-exploateringsverktyg som kan extrahera data lagrad i Chromium-baserade webbläsare.

Forskarna observerade omfattande PowerShell-aktivitet under intrånget. Enligt rapporterna använde angriparna skript för:

• Systemkartläggning
• Insamling av skärmdumpar
• Stöld av inloggningsuppgifter
• Skapande av persistens
• Leverans av skadlig kod
• SOCKS5-tunnling

Kampanjen använde även Node.js-baserade laddare för att köra nyttolaster och hantera kommunikation i komprometterade miljöer.

Sydkoreanskt företag utsattes för cyberspionage

Symantecs forskare uppgav att intrånget mot det sydkoreanska elektronikföretaget ägde rum mellan den 20 och 27 februari 2026. Organisationens namn offentliggjordes inte.

Utredarna rapporterade att angriparna först fokuserade på kartläggning innan de gick vidare till stöld av inloggningsuppgifter och långsiktiga persistensmetoder.

Enligt forskarna involverade operationen:

• Falska Windows-inloggningsrutor
• Stöld av registerdata
• Missbruk av Kerberos-biljetter
• Registerbaserad persistens
• Schemalagd beaconing-aktivitet

Angriparna startade enligt uppgifter om de sideloadade binärfilerna flera gånger för att behålla åtkomst till de komprometterade systemen.

Forskarna uppgav också att gruppen använde sendit.sh, en legitim fildelningstjänst, för dataexfiltrering. Metoden hjälpte sannolikt angriparna att dölja skadlig trafik bland normal molnrelaterad aktivitet och minska risken för upptäckt.

MuddyWater fortsätter expandera sina operationer

Forskarna beskrev kampanjen som anmärkningsvärd på grund av dess breda internationella målinriktning och allt mer stealth-fokuserade tekniker.

Historiskt har MuddyWater främst riktat in sig på myndigheter och telekominfrastruktur i Mellanöstern. Utredarna uppgav dock att den senaste kampanjen expanderade till fler branscher och regioner.

Operationen riktade enligt uppgifter in sig på:

• Myndighetsorganisationer
• Industriföretag
• Flygplatser
• Finansinstitut
• Utbildningsorganisationer

Säkerhetsforskare tror att kampanjen fokuserade starkt på cyberspionage, industriell underrättelseinhämtning och möjligheter till långsiktig åtkomst.

Intrånget visade också hur statskopplade hotaktörer i allt större utsträckning använder legitim programvara, molntjänster och betrodda företagsverktyg för att kringgå säkerhetsförsvar.

Slutsats

Den senaste kampanjen med iranska hackare visar hur statskopplade cyberspionagegrupper fortsätter förfina stealth-baserade intrångstekniker. Genom att missbruka legitim programvara och betrodda applikationer lyckades angriparna enligt uppgifter behålla åtkomst i flera organisationer samtidigt som de minskade risken för upptäckt.

Attacken mot den stora sydkoreanska elektroniktillverkaren speglar också växande oro kring industriellt cyberspionage och underrättelseinhämtning inom leveranskedjor. I takt med att hotgrupper fortsätter utveckla sina metoder kan organisationer möta allt större utmaningar med att upptäcka långvariga intrång i företagsnätverk.