Die Rolle iranischer Bedrohungsakteure wurde im laufenden Konflikt mehr oder weniger unterdrückt, und dafür gibt es Gründe. Einige führen diese Ruhephase auf einen Mangel an Internetverbindung zurück, doch die wirkliche Erklärung erfordert ein tieferes Verständnis der strategischen Haltung Irans in der physischen Welt und im Cyberraum. Der heutige Blogpost betrachtet genauer, was iranische Bedrohungsakteure tun und welche Maßnahmen Unternehmen ergreifen können, um sich zu schützen.

Bevor wir weitermachen, vergessen Sie nicht, unseren vorherigen Beitrag über die Auswirkungen der Iran-Krise auf den Cyberraum hier anzuschauen.

Lassen Sie uns zuerst ein paar Mythen ansprechen. 

Mythos eins: Die iranische Cyber-Befehlskette ist aufgrund mangelnder Kommunikation zusammengebrochen.

Ähnlich wie der Gegenpart in den Streitkräften operieren die Cyber-Bedrohungsflügel Irans nach einem Mosaikmodell. Dies bedeutet, dass Teams ein gewisses Maß an funktionaler Autonomie haben und durch eine abgestufte Führungsstruktur operieren. Darüber hinaus sind die Mitglieder iranischer APT-Gruppen im ganzen Land verteilt und folgen operativen Handbüchern, die Maßnahmen definieren, die ergriffen werden sollen, wenn die Verbindung ausfällt. Die iranischen Cyber-Teams waren sich der Möglichkeit eines Verbindungsausfalls bewusst, der die Operationen während eines Krieges beeinträchtigen könnte, und sie haben dieses Szenario in ihre Modelle der operativen Resilienz integriert.

Es ist jedem, der ein wenig über kriegsähnliche Situationen weiß, offensichtlich, dass die Konnektivität niemals als selbstverständlich angesehen wird.

Mythos zwei: Die allgemeine Fähigkeit iranischer Bedrohungsakteure wurde durch strukturellen Verschleiß beeinträchtigt.

Ja, es gab einige Auswirkungen, aber es wäre falsch, sie abzuschreiben oder anzunehmen, dass ihre Operationen nun eingestellt werden.

Operation Epic Fury hat effektiv Kommando- und Steuerungsstrukturen getrennt, die operative Infrastruktur abgebaut und wichtige führende Persönlichkeiten eliminiert, die Cyber-Operationen überwachten. Viele haben daher angenommen, dass iranische APT-Gruppen jetzt isoliert sind und nicht in der Lage sind, Operationen eigenständig durchzuführen. Angesichts der Redundanzen, die Iran in seine Führungsstrukturen eingebaut hat, ist die derzeitige Ruhepause eher temporär, da die Teams die Auswirkungen der Operation Epic Fury verarbeiten.

Iran hat bereits Erfahrungen mit der Eliminierung von Führungskräften gemacht und weiß deshalb um die Bedeutung von Strukturen, die eine operative Kontinuität ermöglichen. Daher konnten wir beobachten, wie Muddywaters in Slots über Sonden in der gesamten Nahostregion in den letzten 3 Tagen tätig war.

Man muss auch verstehen, dass iranische Akteure seit über einem Jahrzehnt aktiv sind. Wir haben gesehen, dass ihre IoCs an unerwarteten Orten auftauchen. Diese Akteure sind recht ausgereift, und anzunehmen, sie hätten nicht die Fähigkeit, autonom zu reagieren, wäre eine Überschätzung der verfügbaren Informationen und Beweise.

Bekannte iranische APT-Akteure und ihr aktueller Betriebsstatus

Die folgende Tabelle fasst die wichtigsten iranischen APT-Gruppen zusammen und bewertet ihren Betriebsstatus zum Zeitpunkt der Erstellung dieses Dokuments basierend auf unserer Analyse und Forschung. 

Warum die Stille?

Das Fehlen von groß angelegten bestätigten Angriffen bedeutet nicht, dass das Schlachtfeld leer ist. Iranische APT-Gruppen haben seit Anfang 2025 langfristige Positionen im Bereich der kritischen Infrastruktur im Nahen Osten über Credential-Diebstahl und VPN-Kompromittierung etabliert. Diese vorplatzierten Implantate sind passiv: Sie senden Signale, sie bestehen und sie bieten iranischen APT-Gruppen nach wie vor die Möglichkeit zur Ausnutzung.

 Wenn ein staatliches Cyber-Apparat den von Iran erlittenen Schaden erleidet, wechseln die Operatoren oft von der Offensive zur Pause/Defensivmodus. Man sagt, sie konzentrieren sich darauf, das übrig gebliebene zu bewahren: den Schutz der überlebenden Infrastruktur, die Identifizierung, welche Werkzeuge und Positionen vom Gegner verbrannt wurden, die Rotation der Kommando-Infrastruktur und die Einschätzung des Schadens. Dies sei konsistent mit der historischen Präzedenz. Einige Bedrohungsanalysten ziehen eine Parallele zu den unmittelbaren Folgen des Stuxnet-Vorfalls im letzten Jahrzehnt, als iranische Cyber-Akteure eine verlängerte Periode interner Prüfungen, Gruppierung, Überarbeitung von Playbooks und Infrastrukturreparaturen durchliefen, bevor sie mit anspruchsvolleren Kampagnen zurückkehrten.

Obwohl dies einer der Gründe sein könnte, müssen wir verstehen, dass Iran erheblich in den Aufbau von Resilienz investiert hat. Obwohl Analysten gerne das Mosaikmodell für iranische Streitkräfte billigen, sind einige Analysten nicht bereit, diese Denkweise auf die iranischen Bedrohungsakteure zu extrapolieren. Iranische APT-Gruppen sind seit langem ein integraler Bestandteil der iranischen Staatskunst, und es würde Wege gefunden haben, sich aus solchen Situationen auf allen Ebenen herauszuwinden. 

Die Ruhe in den Operationen könnte aus einem dieser Gründe resultieren:

·  Die Gruppen haben ein neues Mandat erhalten und sind dabei, dieses Mandat zu operationalisieren. Dieses Mandat wurde möglicherweise relativ spät erteilt, nach Ausbruch der Feindseligkeiten.

· Die Identitäten (der Bedrohungsakteure), Knoten und Werkzeuge werden möglicherweise still gehalten, um unerwünschte Aufmerksamkeit von Gegnern zu vermeiden und die Schlagfähigkeit zu erhalten

· Es werden anspruchsvolle Kampagnen gegen neue Ziele geplant

· Die Gruppen befinden sich im Beobachtungsmodus, um zum richtigen Zeitpunkt zuzuschlagen

· Aufgaben, die Gruppenführern zugewiesen wurden, die bei den Schlägen ums Leben kamen, werden neu zugeteilt

· Iran will sich auf Zerstörung im kinetischen Bereich konzentrieren und ist voll beschäftigt

Einige oder die meisten Elemente der iranischen Bedrohungsakteure haben die Schläge bisher überlebt, wie aus den periodischen Aufklärungsangriffen, die weltweit protokolliert werden, ersichtlich ist. Diese Gruppen haben auch mehrere Verbündete außerhalb der geografischen Grenzen Irans beibehalten. Diese Gruppen stellen die endgültige operative Ebene innerhalb des umfassenderen iranischen Bedrohungsakteur-Ökosystems dar.

Entwicklung: Was kommt als