Am Morgen des 28. Februar 2026 begannen US-amerikanische und israelische Luftfahrzeuge mit den Angriffen, die den formellen Beginn des Konflikts ankündigten, der nun den Nahen Osten erfasst. Bei Einbruch der Dunkelheit berichtete NetBlocks, dass die iranische Internet-Konnektivität bei vier Prozent des Ausgangsniveaus lag. Bis zum 7. März, nach neun aufeinanderfolgenden Tagen eines nahezu vollständigen Ausfalls, betrug der Wert ein Prozent. Einhundertzwanzig Stunden des Stillstands, wie eine bekannte Publikation es beschrieb, gemessen in Bruchteilen eines Landes. 

Und dennoch trafen in den darauffolgenden sieben Tagen mit dem Iran verbundene Bedrohungsakteure eine US-Bank, ein Softwareunternehmen aus dem Verteidigungssektor mit israelischen Niederlassungen, einen amerikanischen Flughafen, zwei Energieunternehmen am Golf und platzierten Backdoors auf mehreren Netzwerken in Kanada. Außerdem exfiltrierten sie nach eigenen Angaben 1,3 Terabyte an Daten von einem Ölunternehmen. Ihre Spur war im gesamten Cyberraum sichtbar. Tatsächlich griff APT 34 Netzwerke in Indien, Brasilien, Bahrain und Kanada an.   

Es stellt sich also die Frage: Wie kann ein Land mit lediglich ein Prozent Internet-Konnektivität eine derartige Offensive durchführen? Ist dies eine Form der Täuschung? Die Antwort, wie diese Woche von nationalen Cyberbehörden, behördlichen Threat-Intelligence-Teams, Shieldworkz-Forschern und offenen forensischen Beobachtungen festgestellt wurde, weist auf ein Satellitenkonstellations-Cluster hin, das 550 Kilometer über der Erde stationiert ist und von dem der Iran zugleich verboten, kriminalisiert, gestört und über seine Nachrichtendienstmitarbeiter stillschweigend ausgenutzt hat.

Bevor wir fortfahren, vergessen Sie bitte nicht, unseren früheren Beitrag zu „As global conflicts escalate, APT playbooks are quietly changing“ hier anzusehen. 

Hier ist also, was geschehen ist.

Ein Prozent Konnektivität und dennoch online

Der aktuelle Internet-Blackout im Iran ist tatsächlich der zweite nahezu vollständige Ausfall innerhalb von weniger als 60 Tagen. Der erste begann am 8. Januar 2026, ausgelöst durch Massenproteste, und reduzierte die Konnektivität auf etwa drei Prozent. Im Februar erfolgte eine teilweise Wiederherstellung, wobei der Traffic bis Mitte des Monats wieder auf etwa fünfzig Prozent des Normalwerts anstieg, bevor er am 28. Februar nach Operation Epic Fury, der gemeinsamen US-israelischen Angriffskampagne, erneut einbrach. Seitdem meldet NetBlocks kontinuierlich eine Konnektivität von vier Prozent oder weniger; die jüngste veröffentlichte Messung vom 7. März zeigte lediglich ein Prozent Konnektivität. 

Das National Information Network, Irans nationales Intranet, bleibt für Whitelist-Einrichtungen teilweise funktionsfähig. Staatliche Medien, Regierungsministerien und mit den IRGC verbundene Kommunikationskanäle gehörten zu den ersten Diensten, die unter dem Whitelist-System wiederhergestellt wurden (in einer bestimmten Prioritätsreihenfolge). Das bedeutet, dass regimetreue Betreiber, einschließlich Geheimdienst-Dienstleister und sanktionierter Cyber-Einheiten, Zugriff auf kontrollierte inländische Konnektivität haben, selbst wenn das zivile Internet abgeschnitten ist. Ihr Zugang zum globalen Internet erfordert jedoch etwas anderes, und das kam vom Himmel.

Es heißt, dass während des Januar-Blackouts 7.000 Starlink-Terminals in den Iran gebracht wurden, wie ein Bericht des Wall Street Journal, den diese Woche mehrere nachgelagerte Medien bestätigten, besagt. Zusammen mit geschätzten 50.000 eingeschmuggelten Geräten, die sich bereits im Iran befanden, bildete dies die physische Grundlage für eine parallele Kommunikationsschicht, die von Teilen der gegen die iranische Regierung protestierenden Gruppen genutzt wurde. 

Die Jamming-Reaktion des Iran ist anhaltend und dokumentiert. Von Shieldworkz anhand von gpsjam.org ausgewertete GPS-Interferenzdaten zeigen seit dem 28. Februar eine anhaltende Beeinträchtigung des GPS-L1-Bands bei 1575,42 MHz im Raum Teheran, konsistent mit den im Januar begonnenen mobilen Jamming-Operationen. Die Wirkung besteht in einer Verschlechterung des Starlink-Lock anstelle eines vollständigen Ausfalls. Nutzer mit freier Sicht zum Himmel außerhalb des Radius mobiler Jammer erzielen weiterhin nutzbaren Durchsatz. Genau dieses verbleibende Zeitfenster, in den Städten eng, in ländlichen und periurbanen Gebieten breiter, wird von den Bedrohungsakteuren genutzt. Einige der Terminals könnten zudem von iranischen Nachrichtendiensten beschlagnahmt und zur Unterstützung der Operationen der Bedrohungsakteure verwendet worden sein. 

Chronologie der iranischen Internet-Konnektivität: 28. Februar bis 10. März 2026

Quellen: NetBlocks via Mastodon; CNBC vom 7. März 2026; gpsjam.org; The National 

Satellitenoperationen und Eskalation

Die Aktivitäten von Handala Hack in den letzten sieben Tagen stellen eine qualitative Verschiebung gegenüber dem bisherigen Operationsmuster dar. Die Gruppe, die von mehreren westlichen Regierungsbehörden mit hoher Sicherheit als eine von Irans Ministerium für Nachrichtendienste und Sicherheit betriebene Persona eingestuft wird, hat sich von Hack-and-Leak-Aktivitäten in Israel hin zu Multi-Vector-Operationen ausgeweitet, die den gesamten Golfraum, die Vereinigten Staaten und sogar die iranische Diaspora in Nordamerika umfassen.

Der Einsatz von Starlink als Konnektivitätsschicht ist die operative Grundlage, die all dies möglich macht. Handala-Kampagnen wurden bereits aus Starlink-IP-Bereichen heraus geführt, wobei die Gruppe extern erreichbare Anwendungen auf Fehlkonfigurationen und schwache Anmeldedaten prüfte. Dieses Muster hat sich im März fortgesetzt.  

Die bedeutendste Handala-Operation der letzten sieben Tage war der gemeldete Einbruch bei einem Ölunternehmen in den VAE. Handala veröffentlichte die Behauptung am 3. März (als die Konnektivität unter 4 Prozent lag) und behauptete die Exfiltration von 1,3 Terabyte an Daten, darunter Finanzberichte, Ölverträge und interne Dokumente. In seinem Beitrag auf der Leak-Seite im Darknet erklärte die Gruppe, und ich zitiere: „Wir haben kritische Infrastruktur (SIC) zerschlagen und 1,3 TB sensibler Daten extrahiert.“ Die Wortwahl entspricht dem ursprünglichen Kommunikationsstil der Gruppe, der auf maximale psychologische Wirkung gegenüber den Golfregierungen ausgelegt ist, die sie als militärische Unterstützer der USA betrachtet. Das betroffene Ölunternehmen hat den Vorfall öffentlich weder bestätigt noch dementiert. Die Analyse des geleakten Belegmaterials, soweit Forschende es einsehen konnten, hat bislang nicht eindeutig ergeben, ob die Daten neu oder bereits vorhanden waren, obwohl der behauptete Umfang deutlich größer ist als die wiederverwendeten Daten aus einer anderen Behauptung derselben Woche, die Forschende als vermutlich erfunden oder durch bereits zirkulierende Dateien stark aufgebläht einstuften. Das ist ein klares Zeichen der Verzweiflung.

Separat führte Handala auch ein israelisches Ölunternehmen als Ransomware-Opfer auf, wobei in beiden Einträgen dieselbe behauptete Menge von 1,3 Terabyte an Exfiltration auftauchte. Die Übereinstimmung der Zahlen über zwei verschiedene Organisationen hinweg ist ein Warnsignal für Aufblähung, und die kombinierte Gesamtbehauptung sollte mit angemessener Skepsis betrachtet werden. Woran es keinen Zweifel gibt, ist das Zielmuster: Energieinfrastruktur am Golf und der israelische Energiesektor, also die beiden Kategorien, die am ehesten strategische Panik und mediale Verstärkung auslösen.

Seedworm in US-Netzwerken

Die wichtigste Erkenntnis der vergangenen sieben Tage kam nicht von Handala, sondern von Seedworm, der langjährigen iranischen APT-Gruppe, die US-Regierungsbehörden einschließlich CISA, FBI und UK NCSC dem iranischen Ministerium für Nachrichtendienste und Sicherheit zugeschrieben haben. Seedworm befand sich seit mindestens Anfang Februar in den Netzwerken mehrerer US-Organisationen, also Wochen vor dem ersten Luftangriff. Es ist möglich, dass Seedworm auch seinen Weg in Netzwerke anderer Länder gefunden hat.

Zu den bestätigten Opfern gehören eine US-Bank, ein US-Flughafen, ein in den USA ansässiges Softwareunternehmen, das die Verteidigungs- und Luftfahrtindustrie beliefert und in Israel tätig ist, sowie Nichtregierungsorganisationen in den Vereinigten Staaten und in Kanada. Die Forschenden wissen nicht, wie Seedworm den Erstzugang erlangte, jedoch kann eine Insider-Route derzeit nicht ausgeschlossen werden. Die Gruppe ist dafür bekannt, Techniken wie Phishing und die Ausnutzung von Schwachstellen in öffentlich erreichbaren Anwendungen zu verwenden, aber der konkrete Eintrittsvektor für diese Kampagne wurde bisher nicht bestimmt.

Was die Forschenden ebenfalls fanden, war eine neue Werkzeugsammlung, die von dem Bedrohungsakteur eingesetzt wurde. Die primäre Backdoor namens Dindoor nutzt Deno, die sichere Laufzeitumgebung für JavaScript und TypeScript, die als moderne Alternative zu Node.js entwickelt wurde, um Befehle auf infizierten Maschinen auszuführen. Die Wahl von Deno ist bemerkenswert. Es handelt sich um eine vergleichsweise neue Runtime mit einer geringeren Sicherheitsforschungs-Basis als sein unmittelbarer Vorgänger, und seine Netzwerkkommunikation kann sich in legitimen Entwicklerverkehr einfügen, wenn Deno in der Umgebung verwendet wird. Dindoor war digital signiert mit einem Zertifikat, das auf eine Person namens Amy Cherne ausgestellt wurde. Dieser Name steht in direkter Verbindung zu früheren Seedworm-Aktivitäten, wobei das Zertifikat selbst für diese Kampagne ausgestellt wurde und sich von der Legacy-Signierungsinfrastruktur von Seedworm unterscheidet.

Eine zweite Backdoor, die in den Netzwerken des US-Flughafens und der kanadischen NGO gefunden wurde und Fakeset heißt, war in Python geschrieben und sowohl mit dem Amy-Cherne-Zertifikat als auch mit einem Zertifikat signiert, das auf Donald Gay ausgestellt wurde, einem weiteren Namen, der zuvor mit den Seedworm-Malware-Familien Stagecomp und Darkcomp in Verbindung gebracht wurde. Die Zertifikatskette ist der operative Sicherheitsfehler, der eine Attribution möglich macht. Handelte es sich um einen absichtlich begangenen Fehler, um die Attribution sicherzustellen? Das ist eine wahrscheinliche Möglichkeit.

In mindestens einem Vorfall, der auf das Softwareunternehmen aus dem Verteidigungs- und Luftfahrtbereich abzielte, versuchte Seedworm, Daten mithilfe von Rclone zu exfiltrieren, einem weithin verfügbaren Open-Source-Tool zur Synchronisierung von Daten mit Cloud-Storage-Diensten, das auf einen Cloud-Storage-Bucket von Wasabi Technologies ausgerichtet war. Ob die Übertragung erfolgreich war, ist weiterhin unbestätigt. Die Malware für Fakeset wurde auf Backblaze gehostet, einem weiteren kommerziellen Cloud-Storage-Anbieter, was ein Muster der Nutzung legitimer Infrastruktur zur Umgehung von Erkennung fortsetzt.

Die entscheidende strategische Frage, die sich aus dieser Entdeckung ergibt, lautet, ob Seedworm sich für nachrichtendienstliche Aufklärung, für Störung oder für beides vorpositioniert hat. Jeder Netzwerkzugang kann genutzt werden, um einen eskalierenden Angriff zu starten, der mit Datenexfiltration beginnt und in einem kinetischen Vorfall endet.  

Besonders beunruhigend wird dies durch das, was mit Irans CCTV-Überwachungsoperation 2025 geschah. Im Mai 2025 kompromittierte MuddyWater einen Server mit Live-CCTV-Streams aus Jerusalem. Am 23. Juni 2025 bombardierte der Iran Jerusalem. Israelische Behörden berichteten am selben Tag, dass iranische Kräfte kompromittierte Sicherheitskameras genutzt hatten, um Echtzeit-Zielinformationen zu gewinnen. Der Verlauf vom passiven Zugriff zum aktiven Targeting betrug fünf Wochen. Der Seedworm-Fußfassen in US-Netzwerken wurde Anfang Februar gelegt. Nun ist Mitte März.

Was liegt vor uns?

Die vergangenen sieben Tage waren durch ein hohes Verhältnis von Behauptungen zu bestätigten Auswirkungen gekennzeichnet. Die meisten Hacktivisten-Aussagen über erfolgreiche ICS-Kompromittierung, Zerstörung im Energiesektor und Störungen kritischer Infrastrukturen bleiben unbestätigt. Die Foundation for Defense of Democracies veröffentlichte diese Woche eine Analyse, in der unmissverständlich festgestellt wird, dass die meisten Behauptungen über erfolgreiche Hacks wahrscheinlich falsch oder übertrieben sind. Jordaniens National Cybersecurity Center bestätigte, dass es den Angriff auf sein Wheat-Silo-Management-System abgewehrt und nicht erlegen ist.  

Die stille professionelle Ebene erzählt jedoch eine andere Geschichte. Seedworms bestätigte Präsenz in einer US-Bank, einem Flughafen, den israelischen Niederlassungen eines Verteidigungszulieferers und mehreren NGOs ist keine Behauptung. Es handelt sich um dokumentierte Netzwerkaktivität, forensisch über Zertifikatsketten und Malware-Code zugeordnet, und die betroffenen Organisationen wurden benachrichtigt. Der Fußfassen existiert. Die Frage für die nächsten zwei bis vier Wochen lautet, ob es bei Spionageinfrastruktur bleibt oder zur Grundlage einer störenden oder zerstörerischen Operation wird.

Für Organisationen in Branchen, die von der bestätigten Aktivität dieser Woche betroffen waren, ist das Signal klar: Die Tür, durch die das Seedworm-Team im Februar gegangen ist, steht in vielen Organisationen weiterhin offen, die noch nicht wissen, dass sie ins Visier genommen wurden. Die Dindoor-Backdoor wurde dafür gebaut, unsichtbar zu bleiben. So könnten sich die Dinge entwickeln:

· Iranische Bedrohungsakteure aktivieren weitere bereits kompromittierte Netzwerke, um Unternehmen im Golfraum und darüber hinaus anzugreifen. Sie können diese Netzwerke verwenden, um verdächtigen Verkehr zu verschleiern

· Mit zunehmender Bandbreite wird die Aufklärungsfähigkeit dieser Gruppen steigen

· Iranische Akteure könnten zudem Zugang zu Botfarmen erlangen, die von russischen und chinesischen APT-Gruppen betrieben werden, um gezielt bestimmte Einrichtungen der kritischen Infrastruktur anzugreifen

· In der Zwischenzeit werden iranische Gruppen für deutlich mehr Einbrüche die Verantwortung beanspruchen, um in den Nachrichten zu bleiben

· Den Höhepunkt der Zielauswahl iranischer Akteure haben wir noch nicht gesehen    

Darüber hinaus lassen sich diese Muster extrapolieren, um zu verstehen, was die nächste Zielgruppe sein könnte:

 Erhalten Sie ein individuelles Threat-Intelligence-Briefing, hier.  

 Zusätzliche Ressourcen herunterladen

Auf IEC 62443 basierende Checkliste zur Risikobewertung für den Flughafenbetrieb und kritische Infrastrukturen
Checkliste zur Reaktion auf Vorfälle in der Operational Technology (OT)
IEC 62443 OT Cybersecurity Risk Assessment Field Checklist für Öl- und Gas-Standorte
Leitfaden zur defensiven Lage für Unternehmen im Nahen Osten