Am Morgen des 28. Februar 2026 begannen US-amerikanische und israelische Flugzeuge die Angriffe, die die formelle Einleitung des Konflikts ankündigten, der nun den Nahen Osten in seinem Griff hat. Bis zum Einbruch der Dunkelheit berichtete NetBlocks, dass die iranische Internetanbindung bei vier Prozent des Basisniveaus lag. Bis zum 7. März, nach neun aufeinanderfolgenden Tagen eines nahezu vollständigen Blackouts, stand diese Zahl bei einem Prozent. Einhundertzwanzig Stunden des Stillstands, wie es eine bekannte Publikation beschrieb, gemessen in Bruchteilen eines Landes. 

Und doch trafen iranisch-ausgerichtete Bedrohungsakteure in den sieben Tagen danach eine US-Bank, ein Softwareunternehmen des Verteidigungssektors mit israelischen Aktivitäten, einen amerikanischen Flughafen, zwei Golf-Energiekonzerne und installierten Hintertüren in mehreren Netzwerken in Kanada. Sie extrahierten auch angeblich 1,3 Terabyte Daten von einem Ölunternehmen. Ihre Spuren waren im gesamten Cyberspace sichtbar. Tatsächlich griff APT 34 Netzwerke in Indien, Brasilien, Bahrain und Kanada an.   

Also stellt sich die Frage. Wie kann eine Nation mit nur einem Prozent Internetkonnektivität eine solche Offensive durchführen? Ist dies eine Form der Täuschung? Die Antwort, die diese Woche von nationalen Cyberagenturen, Regierungsteams für Bedrohungsaufklärung, Shieldworkz-Forschern und forensischer Beobachtung aus offenen Quellen entdeckt wurde, weist auf eine Konstellation von Satelliten hin, die 550 Kilometer über der Erde geparkt sind, die der Iran gleichzeitig verboten, kriminalisiert, gestört und, über seine Geheimdienstmitarbeiter, heimlich ausgenutzt hat.

Bevor wir fortfahren, vergessen Sie nicht, unseren vorherigen Beitrag zu überprüfen: „Während globale Konflikte eskalieren, ändern sich APT-Spielbücher leise“, hier.  

Das ist also geschehen.

Ein Prozent Konnektivität und trotzdem online

Der aktuelle Internetausfall im Iran ist tatsächlich die zweite fast vollständige Abschaltung innerhalb von weniger als 60 Tagen. Die erste begann am 8. Januar 2026, ausgelöst durch Massenproteste, und reduzierte die Konnektivität auf etwa drei Prozent. Eine teilweise Wiederherstellung erfolgte im Februar, wobei der Datenverkehr bis Mitte des Monats ungefähr auf fünfzig Prozent des Normalniveaus wiederhergestellt wurde, bevor er am 28. Februar nach Beginn der „Operation Epic Fury“, der gemeinsamen US-israelischen Angriffskampagne, erneut zusammenbrach. Seitdem hat NetBlocks durchgehend Konnektivität bei oder unter vier Prozent berichtet, wobei die jüngste veröffentlichte Messung am 7. März eine Konnektivität von nur einem Prozent zeigte. 

Das nationale Informationsnetzwerk, das das iranische Intranet darstellt, bleibt teilweise funktionsfähig, jedoch nur für Whitelist-Institutionen. Staatsmedien, Regierungsministerien und mit der IRGC verbundene Kommunikationskanäle gehörten zu den ersten Diensten, die unter dem Whitelist-System (in einer bestimmten Prioritätsreihenfolge) wiederhergestellt wurden. Das bedeutet, dass loyale Betreiber des Regimes, einschließlich Geheimdienstauftragsnehmern und sanktionierten Cyber-Einheiten, Zugang zu kontrollierter inländischer Konnektivität haben, selbst wenn das zivilen Internet abgeschnitten ist. Ihr Zugang zum globalen Internet erfordert jedoch etwas anderes und das kam vom Himmel.

Es wird gesagt, dass während des Januar-Blackouts 7.000 Starlink-Terminals in den Iran gebracht wurden, wie aus einem Bericht des Wall Street Journal hervorgeht, der diese Woche von mehreren weiteren Stellen bestätigt wurde. Zusammen mit geschätzten 50.000 bereits im Iran geschmuggelten Terminals bildete dies das physische Substrat für eine parallele Kommunikationsebene, die von protestierenden Segmenten gegen die iranische Regierung genutzt wurde. 

Der Störungsreaktion des Iran wurde weitgehend und dokumentiert begegnet. GPS-Stördaten, die von Shieldworkz von gpsjam.org analysiert wurden, haben seit dem 28. Februar eine kontaminierte 1575,42 MHz GPS L1-Band über die Region Teheran gezeigt, was mit den mobilen Störmaßnahmen übereinstimmt, die im Januar begannen. Der Effekt ist eine Verschlechterung des Starlink-Signals, kein totaler Blackout. Benutzer mit klarem Zugang zum Himmel außerhalb der Reichweite mobiler Störsender können weiterhin nutzbare Durchsätze erzielen. Dieses restliche Fenster, das in den Städten schmaler ist und in ländlichen und periurbanen Gebieten breiter ist, wird von Bedrohungsakteuren genutzt. Einige der Terminals könnten auch von iranischen Geheimdiensten beschlagnahmt worden sein, um die Operationen der Bedrohungsakteure zu unterstützen. 

Chronologie der iranischen Internetkonnektivität: 28. Februar bis 10. März 2026

Quellen: NetBlocks via Mastodon; CNBC 7. März 2026; gpsjam.org; The National 

Satellitenoperationen und Eskalation

Die Aktivitäten von Handala Hack in den letzten sieben Tagen stellen eine qualitative Verschiebung von ihrem vorherigen Betriebsmodus dar. Die Gruppe, von mehreren westlichen Regierungsbehörden mit hoher Sicherheit als Persona bewertet, die vom iranischen Ministerium für Nachrichtendienste und Sicherheit betrieben wird, hat sich von Hack-and-Leak in Israel zu multivektoralen Operationen gewandt, die den gesamten Golf, die Vereinigten Staaten und sogar die iranische Diaspora in Nordamerika umfassen.

Der Einsatz von Starlink als Konnektivitätsschicht ist die operationelle Grundlage, die all dies möglich macht. Handala-Kampagnen wurden bereits von Starlink-IP-Bereichen aus betrieben, wobei die Gruppe extern zugängliche Anwendungen auf Fehlkonfigurationen und schwache Anmeldeinformationen überprüfte. Dieses Muster hat sich bis in den März fortgesetzt.  

Die bedeutendste Handala-Operation der letzten sieben Tage war der behauptete Verstoß gegen ein Ölunternehmen in den VAE. Handala veröffentlichte den Anspruch am 3. März (als die Konnektivität unter 4 Prozent lag) und behauptete, 1,3 Terabyte Daten extrahiert zu haben, einschließlich Finanzberichten, Ölverträgen und internen Dokumenten. Der Beitrag der Gruppe auf ihrer zwielichtigen Website erklärte, und ich zitiere: 'Wir haben kritische Infrastruktur (SIC) demontiert und 1,3 TB sensitives Datenmaterial extrahiert.' Die Sprache entspricht dem ursprünglichen Kommunikationsstil der Gruppe, der darauf ausgelegt ist, maximale psychologische Wirkung auf Golfregierungen zu erzielen, die sie als Unterstützer des US-Militärs sieht. Das betroffene Ölunternehmen hat die Verletzung öffentlich weder bestätigt noch dementiert. Eine Analyse des durchgesickerten Probenmaterials, soweit Forscher es untersuchen konnten, hat noch nicht endgültig festgestellt, ob die Daten aktuell oder bereits vorhandene Daten sind, obwohl die beanspruchte Menge erheblich größer ist als die wiederverwerteten Daten aus einem anderen Anspruch, der in derselben Woche gemacht wurde, den Forscher als wahrscheinlich gefälscht oder stark aufgebläht mit bereits kursierenden Dateien ansahen. Dies ist ein deutliches Zeichen der Verzweiflung.

Separat führte Handala auch ein israelisches Ölunternehmen als Ransomware-Opfer auf, wobei dieselbe beanspruchte Exfiltrationsfigur von 1,3 Terabyte in beiden Auflistungen auftauchte. Die Übereinstimmung der Zahlen über zwei separate Organisationen hinweg ist ein Warnsignal für Übertreibung, und die gesamte kombinierte Behauptung sollte mit angemessener Skepsis behandelt werden. Was nicht bezweifelt wird, ist das Zielmuster: Golf-Energys-Infrastruktur und der israelische Energiesektor, die beiden Kategorien, die am ehesten strategische Panik und Medienverstärkerung hervorrufen können.

Seedworm in US-Netzwerken

Die bedeutendste Enthüllung der letzten sieben Tage kam nicht von Handala, sondern von Seedworm, der langjährigen iranischen APT-Gruppe, die von US-Regierungsbehörden einschließlich CISA, dem FBI und dem UK NCSC dem iranischen Ministerium für Nachrichtendienste und Sicherheit zugeordnet wurde. Seedworm hat sich mindestens seit Anfang Februar in den Netzwerken mehrerer US-Organisationen befunden, Wochen bevor der erste Luftschlag erfolgte. Es ist möglich, dass Seedworm auch Zugang zu Netzwerken herstellt, die mit anderen Ländern verbunden sind.

Zur bestätigten Opferliste gehören eine US-Bank, ein US-Flughafen, ein US-amerikanisches Softwareunternehmen, das die Verteidigungs- und Luft- und Raumfahrtindustrie versorgt und in Israel tätig ist, und nichtstaatliche Organisationen sowohl in den Vereinigten Staaten als auch in Kanada. Forscher wissen nicht, wie Seedworm initialen Zugang erlangt hat, aber ein Insider-Pfad kann zu diesem Zeitpunkt nicht ausgeschlossen werden. Die Gruppe ist bekannt für die Nutzung von Techniken wie Phishing und die Ausnutzung von Schwachstellen in öffentlich zugänglichen Anwendungen, aber der spezifische Einstiegspunkt für diese Kampagne wurde noch nicht festgestellt.

Was die Forscher auch fanden, war ein neues Set von Tools, das vom Bedrohungsakteur verwendet wurde. Die primäre Hintertür, Dindoor genannt, nutzt Deno, das sichere Runtime für JavaScript und TypeScript, das als moderne Alternative zu Node.js entwickelt wurde, um Befehle auf infizierten Maschinen auszuführen. Die Auswahl von Deno ist bemerkenswert. Es handelt sich um eine relativ neue Runtime mit einem kleineren Forschungsumfang im Bereich der Sicherheit als bei ihrem unmittelbaren Vorgänger, und seine Netzkommunikation kann sich in legitimen Entwicklerverkehr in Umgebungen einmischen, in denen Deno verwendet wird. Dindoor wurde digital mit einem Zertifikat signiert, das an eine Person namens Amy Cherne ausgestellt wurde. Dieser Name verbindet sich direkt mit früheren Seedworm-Aktivitäten, obwohl das Zertifikat selbst für diese Kampagne ausgegeben wurde und sich von der bisherigen Seedworm-Signaturinfrastruktur unterscheidet.

Eine zweite Hintertür, die in den Netzwerken eines US-Flughafens und einer kanadischen NGO gefunden wurde, mit Namen Fakeset, wurde in Python geschrieben und sowohl mit dem Amy Cherne Zertifikat als auch mit einem Zertifikat, das an Donald Gay ausgestellt wurde, signiert, ein weiterer Name, der zuvor mit Seedworm-Malwarefamilien Stagecomp und Darkcomp verbunden war. Die Zertifikatskette ist der operationelle Sicherheitsfehler, der die Zuordnung ermöglicht. War dies ein Fehler, der absichtlich begangen wurde, um die Zuordnung zu gewährleisten? Das ist eine wahrscheinliche Möglichkeit.

In mindestens einem Vorfall, bei dem das Softwareunternehmen aus der Verteidigung- und Luft- und Raumfahrtindustrie zielte, versuchte Seedworm, Daten mit Rclone, einem weit verbreiteten Open-Source-Tool zum Synchronisieren von Daten mit Cloud-Speicher-Diensten, zu exfiltrieren, was auf einen Cloud-Speicher-Bucket von Wasabi Technologies gerichtet war. Ob der Transfer erfolgreich war, bleibt unbestätigt. Die Malware für Fakeset wurde auf Backblaze, einem weiteren kommerziellen Cloud-Speicheranbieter, gehostet und setzt ein Muster der Nutzung legitimer Infrastruktur zur Vermeidung von Erkennung fort.

Die kritische strategische Frage, die durch diese Entdeckung aufgeworfen wird, ist, ob Seedworm für die Sammlung von Nachrichten oder für die Vorbereitung von Störungen oder beides vorgesorgt hat. Jeder Netzwerkzugang kann verwendet werden, um einen eskalierenden Angriff zu starten, der mit Datenausforschung beginnt und mit einem kinetischen Vorfall endet.  

Dies wird noch unbehaglicher durch das, was Irans Überwachungskamerasoperation im Jahr 2025 geschah. Im Mai 2025 kompromittierte MuddyWater einen Server, der Live-Überwachungs-Streams aus Jerusalem enthielt. Am 23. Juni 2025 bombte Iran Jerusalem. Die israelischen Behörden berichteten am selben Tag, dass iranische Kräfte kompromittierte Sicherheitskameras verwendet hatten, um Zielechtzeit-Aufklärung zu sammeln. Die Entwicklung von passivem Zugang zu aktivem Zielen dauerte fünf Wochen. Der Saatwurm-Fuß in US-Netzwerken wurde im frühen Februar gepflanzt. Es ist jetzt Mitte März.

Was steht uns bevor?

Die letzten sieben Tage waren durch ein hohes Verhältnis von Forderungen zu bestätigten Auswirkungen gekennzeichnet. Die meisten Behauptungen von Hacktivisten über erfolgreiche ICS-Kompromittierungen, Zerstörungen im Energiesektor und Störungen kritischer Infrastrukturen bleiben unbestätigt. Die Stiftung für Verteidigung der Demokratien veröffentlichte diese Woche eine Analyse, in der sie flachweg erklärte, dass die meisten Behauptungen erfolgreicher Hacks wahrscheinlich falsch oder übertrieben sind. Das Nationale Cyber-Sicherheitszentrum Jordaniens bestätigte, dass es den Angriff auf sein Managementsystem für Getreidesilos abwehrte und nicht zum Opfer wurde.  

Aber die stille professionelle Schicht ist eine andere Geschichte. Seedworms bestätigte Präsenz in einer US-Bank, einem Flughafen, den israelischen Operationen eines Verteidigungsanbieters und mehreren NGOs ist kein Anspruch. Es handelt sich um dokumentierte Netzwerkaktivitäten, forensisch zugeordnet durch Zertifikatsketten und Malware-Code, und die betroffenen Organisationen wurden benachrichtigt. Der Fußabdruck existiert. Die Frage für die nächsten zwei bis vier Wochen ist, ob es Infrastruktur zur Spionage bleibt oder die Grundlage für eine störende oder zerstörerische Operation wird.

Für Organisationen in den von dieser Woche bestätigten Aktivitäten betroffenen Sektoren ist das Signal klar: Die Tür, durch die das Seedworm-Team im Februar gegangen ist, steht noch in vielen Organisationen offen, die noch nicht wissen, dass sie angegriffen wurden. Die Dindoor-Hintertür wurde gebaut, um unsichtbar zu sein. So könnten sich die Dinge entfalten:

• iranische Bedrohungsakteure lösen mehr vorbereitete Netzwerke aus, um Unternehmen im Golf und darüber hinaus ins Visier zu nehmen. Sie können diese Netzwerke nutzen, um verdächtigen Datenverkehr zu verschleiern

• Mit zunehmender Bandbreite wird die Aufklärungskapazität dieser Gruppen zunehmen

• iranische Akteure könnten auch Zugang zu den Botfarmen erlangen, die von russischen und chinesischen APT-Gruppen betrieben werden, um spezifische kritische Infrastruktureinheiten zu attackieren

• In der Zwischenzeit werden iranische Gruppen weiterhin Verantwortung für viele weitere Verstöße beanspruchen, um in den Nachrichten zu bleiben

• Wir haben noch nicht den Höhepunkt der Zielanstrengungen iranischer Akteure gesehen   

Zusätzlich können diese Muster extrapoliert werden, um zu verstehen, welche die nächsten Zielsetzungen sein könnten:

 Erhalten Sie eine benutzerdefinierte Bedrohungsaufklärung, hier.  

 Zusätzliche Ressourcen herunterladen

IEC 62443-basierte Risikoanalyse-Checkliste für Flughafenbetriebe und kritische Infrastrukturen
Notfallreaktions-Checkliste für Betriebs-Technologie (OT)
IEC 62443 OT Cybersecurity Risikoanalyse-Feldcheckliste für Öl- und Gasstandorte
Leitfaden für Abwehrmaßnahmen für Unternehmen im Nahen Osten