Operation Epic Fury hat eine langsame, aber anhaltende Reaktion von iranischen Bedrohungsakteuren wie Charming Kitten, MuddyWater, OilRig, Agrius und Cotton Sandstorm ausgelöst. Alle diese Gruppen sind zum Zeitpunkt dieses Schreibens aktiv, und der langsame und allmähliche Anstieg des operativen Tempos dieser Akteure seit Beginn der Krise sagt mehr über die operativen Ziele der iranischen Cyber-Bedrohungsakteure aus als das, was im Internet diskutiert wurde.

Iranische APT-Gruppen sind in den letzten Wochen zunehmend aggressiv und anpassungsfähig geworden (sie waren möglicherweise in Bereitschaft). Ihre Operationen sind nicht mehr auf einfache Defacements oder opportunistische Phishing-Angriffe oder nicht so bedeutende Ziele beschränkt. Stattdessen sind sie jetzt eng in Teherans geopolitische Strategie integriert und dienen als zusätzliche Ebene der offensiven Haltung sowie der defensiven Abschreckung. Hier ist eine strukturierte Analyse ihrer Aktivitäten, ihrer Methoden und der Auswirkungen auf regionale Unternehmen, insbesondere auf Betreiber von Operational Technology (OT)-Umgebungen.

Bevor wir fortfahren, vergessen Sie nicht, unseren vorherigen Blogbeitrag über „Cyber-Bedrohungen im Nahen Osten: Was Organisationen jetzt wissen müssen“ hier zu lesen.  

Iranische APT-Gruppen: Eskalation seit der Krise

Am 28. Februar 2026 führten die Vereinigten Staaten und Israel koordinierte Angriffe unter der Operation Epic Fury / Roaring Lion durch, die das komplexeste Zusammentreffen kinetischer Kriegsführung und Cyber-Operationen in der Nahost-Region auslösten, das jemals beobachtet wurde.

Die Architektur der iranischen Cyber-Macht

Die Cyber-Armee des Iran ist in einer sehr einzigartigen Weise aufgebaut. Im Gegensatz zu seinen Pendants in Russland und China, die operativ ausschließlich von staatlichen Stellen verwaltet werden, verfügen iranische APT-Gruppen über eine redundante Führungsebene, die in Zeiten von Konflikten oder Notfällen aktiviert wird. In solchen Situationen bietet diese Führungsebene, die eine Mischung aus erfahrenen staatlich unterstützten Hackern und ehemaligen Geheimdienstagenten umfasst, eine Übergangsführung, um die operative Kontinuität sicherzustellen.   

Nach fast anderthalb Jahrzehnten kontinuierlicher Investitionen und Lernen verfügt der Iran nun über eine ausgereifte, zweigleisige Cyber-Fähigkeit, die eine staatlich geförderte APT-Ebene umfasst, die vom Islamischen Revolutionsgardekorps (IRGC) und dem Ministerium für Nachrichtendienste und Sicherheit (MOIS) kontrolliert wird, sowie ein wachsendes Ökosystem von Hacktivisten-Proxygruppen oder -affiliates, die operative Skalierung, Zieloptionen und gleichzeitig plausible Abstreitbarkeit bieten.

Eine solche Unterscheidung ist für Verteidiger von enormer Bedeutung. Das IRGC betreibt Gruppen, die im Grunde auf Sabotage, Zugang zu kritischen Infrastrukturen, Netzwerkmanipulation und psychologische Operationen ausgerichtet sind. MOIS dient als Sammler von Informationen für den staatlichen Geheimdienstapparat. Beide Akteurscluster teilen Werkzeuge, Infrastruktur und in einigen Fällen sogar Ziele. Wenn Sie hören, dass MuddyWater bei einem regionalen Energieunternehmen einen initialen Zugang schafft, gibt es ein dokumentiertes Muster, dass OilRig nachfolgt, um nachhaltige Exfiltration durchzuführen oder Spuren zu verwischen.

Bedrohungsakteurprofile: Die aktiven Spieler

Zum Zeitpunkt dieses Schreibens stellen die folgenden Gruppen die operativ aktivsten und taktisch relevantesten Akteure in der aktuellen Krisenumgebung dar:

OilRig (APT34) aka Helix Kitten / Earth Simnavaz / Cobalt Gypsy
Zugehörigkeit: MOIS
Irans beharrlichster Spionagearm. Seit 2014 aktiv, zielt OilRig auf die Energie-, Regierungs- und Finanzsektoren im Nahen Osten mit einem Langzeit-Invasionsmandat. Bis 2025 hat die Gruppe einen signifikanten Wechsel zu cloud-nativen Angriffspfaden vollzogen und verwendet kompromittierte Microsoft 365-Konten und Azure-Persistenzmechanismen, um den Zugang aufrechtzuerhalten. Ihr Werkzeugkasten umfasst jetzt vier neue benutzerdefinierte Downloader, nämlich OilBooster, OilCheck, ODAgent und SC5k. Sie alle nutzen legitime Microsoft Cloud-APIs (OneDrive, Graph, Exchange EWS) als versteckte C2-Kanäle. Der bewusste Missbrauch vertrauenswürdiger Cloud-Dienste erschwert die Erkennung außerordentlich ohne Verhaltensanalysen.

MuddyWater
Zugehörigkeit: MOIS
Die derzeit operativ aktivste iranische Gruppe im aktuellen Krisenfenster. Ihre TTPs kombinieren Techniken des Verbleibs im System (LOtL) wie PowerShell, RDP-Missbrauch, Mimikatz mit legitimen Werkzeugen wie SimpleHelp und Atera RMM für persistente Fernzugriffe. Das Aclip-Backdoor, das die Slack-API für C2 missbraucht, zeigt ihre Bereitschaft, vertrauenswürdige SaaS-Plattformen zu bewaffnen.

APT42 / Charming Kitten aka TA453 / Mint Sandstorm / Educated Manticore
Zugehörigkeit: IRGC-IO

Die menschliche Informationssammlungsmaschine. APT42 geht nicht breit — es geht tief. Journalisten, Forscher, Politikexperten, Akademiker und diaspora-Aktivisten werden durch monatelange Beziehungsbildung ins Visier genommen, bevor es zu technischen Eindringversuchen kommt. Check Point Research beobachtete mehrkanalige Social-Engineering-Kampagnen, die Messaging-Apps nutzen, um Ziele in Credential-Harvesting-Kits zu leiten. In der aktuellen Umgebung zielt diese Gruppe aktiv auf Personen mit privilegiertem Zugang ab: Journalisten, die über den Konflikt berichten, Analysten bei Rüstungsunternehmen und alle, die sich in der Nähe von Entscheidungsträgern befinden.

CyberAv3ngers aka Shahid Kaveh / IRGC Cyber Electronic Command

Zugehörigkeit: IRGC-IO
Der OT-Spezialist. CyberAv3ngers repräsentiert die direkteste Fähigkeit Irans gegen industrielle Kontrollsysteme. Bisher in Verbindung gebracht mit Angriffen auf Unitronics-PLCs bei US-amerikanischen Wasserwerken, haben sie kürzlich C2-Infrastruktur wiederverwendet, die mit dem IOCONTROL-Malware-Rahmenwerk in Verbindung steht — einem benutzerdefinierten OT-Fokus-Werkzeug, das zur Interaktion mit PLCs, HMIs und SCADA-Komponenten entwickelt wurde. Flashpoint-Intelligence-Dokumente behaupteten, dass Verstöße gegen ein jordanisches Getreidesilo-Unternehmen, einschließlich angeblicher Manipulationen der Temperaturkontrollen und Wiegesysteme, vorlagen. Ob vollständig realisiert oder teilweise fabriziert, der Zielintention gegen OT ist unverkennbar.

Cotton Sandstorm aka Haywire Kitten / Emennet Pasargad / MarnanBridge

Zugehörigkeit: IRGC
Der schnelle Einflussoperator. Das Handbuch von Cotton Sandstorm kombiniert Website-Defacements, DDoS, E-Mail-Hijacking und Datendiebstahl mit sofortiger Verstärkung der Informationsoperationen. Ihr benutzerdefinierter Infostealer WezRat wird durch Spear-Phishing-Kampagnen ausgeliefert, die als dringende Software-Updates getarnt sind. In einigen Fällen von Angriffen auf israelische Ziele folgte auf Eindringversuche die Implementierung von WhiteLock-Ransomware. Diese Gruppe agiert schnell — sie ist für Tempo gedacht, nicht für Heimlichkeit.

[Hacktivist Proxy]

Evil 33

Gegründet am 28. Februar 2026, nur Stunden nach den ersten Angriffen, fungiert Evil33 als Koordinationszentrum für pro-iranische Hacktivisten-Zellen. Diese Gruppe, die mit dem MOIS in Verbindung steht, kombiniert Datenexfiltration mit operativem Targeting israelischer Energie-, Fertigungs-, Verteidigungs- und Gesundheitsorganisationen. Die Analyse von Telegram-Nachrichten in 150 Gruppen zeigt, dass die Angriffszeiten mit den kinetischen Ereignissen am Boden synchronisiert sind, und wir können mit einem ziemlich hohen Maß an Vertrauen sagen, dass dies kein spontaner Aktivismus ist.

Taktiken, Techniken und Verfahren

Die TTPs der iranischen APTs haben sich erheblich weiterentwickelt und sind seit der Shamoon-Ära viel ausgefeilter geworden. Der Schwerpunkt liegt jetzt auf der Nutzung von Cloud, LOtL-Techniken und KI-unterstützten Operationen. Solche Taktiken repräsentieren eine gezielte Anpassung an moderne Verteidigungsumgebungen und erhöhen die Erfolgschancen.  

Erstzugriff (MITRE TA0001)

 Persistenz und Kommando plus Kontrolle (MITRE TA0003 / TA0011)

 Das Toolkit

Mehrere Untersuchungen haben bestätigt, dass CyberAv3ngers GPT-Modelle speziell für die Durchführung von PLC-Forschung, das Abfragen von Dokumentationen programmierbarer Logiksteuerungen, Angriffsoberflächen und Firmware-Schwachstellen verwendet. KI beschleunigt aktiv das Tempo, mit dem weniger technisch versierte Betreiber OT-fähige Intrusionsfähigkeiten entwickeln können. Die Demokratisierung der ICS-Angriffsrecherche ist ein struktureller Wandel, keine vorübergehende Entwicklung.

Spezieller Hinweis für OT/ICS-Betreiber

Der Iran hat ein nachgewiesenes, aktives und jetzt operativ festgelegtes Interesse am Angriff auf Betriebs- und Überwachungstechnologie in verschiedenen Ebenen und Ländern. Dies ist keine aspirative Fähigkeit. Die Shamoon-Kampagnen gegen Saudi Aramco (2012, 2017) zerstörten 35.000 Arbeitsstationen. Der Angriff TRITON/TRISIS gegen eine saudische Petrochemieanlage zielte speziell auf Sicherheitsinstrumentierte Systeme ab, um physischen Schaden zu verursachen. CyberAv3ngers haben in der Vergangenheit den Betrieb von Wasseraufbereitungsanlagen in den USA gestört.

Die aktuelle Bedrohungsumgebung fügt diesem etablierten Muster mehrere neue Dimensionen hinzu. Agrius-verbundene Infrastruktur wurde beim aktiven Scannen nach anfälligen IP-Kameras in ganz Israel während des Konflikts im Juni 2025 beobachtet. Dies war wahrscheinlich für die Beurteilung von Schäden nach Angriffen (BDA). Kameras in Energieanlagen, physische Sicherheitssysteme, Umspannwerke und Hafeninfrastruktur standen im Fokus. Dies ist ein Erkennungsverhalten mit einer physischen Zielabsicht.

Minderungsmaßnahmen

Unmittelbare Maßnahmen

· Überprüfen Sie alle internetfähigen Assets einschließlich VPNs, Firewalls, Exchange/OWA, RDP-Gateways und wenden Sie Patches für alle kritischen CVEs an

· Bringen Sie mehr Benutzerrechte unter den Modus Genehmigen und Bereitstellen

· Erzwingen Sie phishing-resistente MFA (FIDO2/Hardware-Schlüssel) auf allen M365-, Google Workspace- und VPN-Konten. SMS-basierte MFA ist unzureichend

· Überprüfen und beschränken Sie den Zugang zu RMM-Tools. Blockieren oder erfordern Sie ausdrücklich eine Genehmigung für alle Fernverwaltungs-Sitzungen

· Laden Sie M365-Auditprotokolle herunter und suchen Sie nach auffälligen OAuth-Anwendungsberechtigungen, Graph-API-Aufrufen und EWS-Zugriffen 

· Richten Sie eine DDoS-Mitigationsabdeckung für alle öffentlich zugänglichen Web- und Betriebsportale ein oder überprüfen Sie sie

Kurzfristige Maßnahmen

· Wenn Sie Unitronics Vision oder UniStream PLCs betreiben, überprüfen Sie sofort auf unerwartete Netzwerkverbindungen und Firmware-Integrität. Überprüfen Sie den MQTT-Verkehr auf Port 8883 zu externen IPs

· Verifizieren und validieren Sie die OT/IT-Netzwerksegmentierung — bestätigen Sie, dass das Purdue-Modell tatsächlich durchgesetzt wird, nicht nur dokumentiert ist

· Deaktivieren Sie Remote-Zugriff auf jedes OT-System, das nicht betriebsbedingt erforderlich ist

· Führen Sie eine schnelle Überprüfung von IP-Kameras, HMIs und netzwerkverbundenen Sicherheitssystemen auf Standardpasswörter und offene Ports durch

· Informieren Sie Außendienstmitarbeiter über das Bewusstsein für Social Engineering. Dieses Stellenangebot könnte eine Falle sein

Worauf zu achten ist

· Anstieg der DNS-Abfragen auf unbekannte Domains OilRig DNS-Tunneling. Implementieren Sie DNS-Protokollierung und Anomalieerkennung

· Ungewöhnliche PowerShell-Ausführung, insbesondere kodierte (Base64) Befehle. Aktivieren Sie die Skriptblockprotokollierung und AMSI

· Unerwartete ausgehende Verbindungen zu OneDrive, SharePoint oder Exchange von nicht standardmäßigen Prozessen

· Neue lokale Administratorkonten oder Dienstkonten, die außerhalb der Änderungsmanagementfenster erstellt wurden

· Telegram-API-Aufrufe von Arbeitsstationen und Servern

· Löschen von Volumenschattenkopien oder Datenträgererfassung zu ungewöhnlichen Zeiten - Vorstufen zur Löschersoftware-Implementierung

 Andere Empfehlungen

· Führen Sie eine Zwischenrisikoanalyse Ihrer Infrastruktur durch, die Kontrollen und Governance abdeckt

· Abonnieren Sie einen Bedrohungsintelligenz-Feed, der die iranischen APT-IOCs abdeckt   

· Führen Sie eine Notfallübung durch, die eine MuddyWater-Eindringung simuliert, die Ihr OT-Netzwerk erreicht. Testen Sie Reaktionen und Effizienz

· Stellen Sie sicher, dass Ihr Reaktionsplan auf Vorfälle ausdrücklich Szenarien für destruktive Malware (Wiper) abdeckt

· Arbeiten Sie mit Ihrem OEM/Zulieferern zusammen, um die Sicherheit der Lieferkette zu stärken

· Halten Sie Ausschau nach Lecks im Dark Web und bereiten Sie Ihr Kommunikationsteam auf mögliche Hack-and-Leak-Operationen vor

Es muss beachtet werden, dass der Iran die Auswirkungen seiner Cyberangriffe oft übertreibt, um psychologische Wirkung zu erzielen. Aber das sollte Sie nicht davon abhalten, Ihre Sicherheitsniveaus zu erhöhen. Gleichzeitig sollten Sie DDoS und Defacement nicht als 'geringfügige Auswirkungen' abtun. Solche Angriffe könnten der Beginn einer größeren Kampagne sein, die OT-Systeme und eine verlängerte Erholung umfassen könnte. Die beste Option ist, Ihre Verteidigung in Ordnung zu bringen und vorbereitet zu sein.

Buchen Sie eine kostenlose Beratung zu Sicherheitslage, Bedrohungsinformationsmanagement, Infrastrukturüberwachung, OT-Sicherheit und IEC 62443-Konformität, hier.

Zusätzliche Ressourcen
Bedrohungsberatung zur Iran-Krise.

IEC 62443-basierte Implementierungs- und Validierungs-Checkliste

NERC CIP-015-1 Compliance Checkliste und KPI-Tracker

Stand der OT-Sicherheit: Häufig gefundene ICS/SCADA/PLC-Ports im Internet