Die neue Kampagne von MuddyWater signalisiert eine neue und eskalierende Phase der iranischen Cyberoperationen

Die geopolitischen Bruchlinien im Nahen Osten haben schon immer tiefen Widerhall im Cyberspace erzeugt. Wie bereits erwähnt (hier), wurden iranische Gruppen nie aus der gesamten geopolitischen Gleichung in der Region entfernt. Stattdessen hielten sie sich zurück, warteten auf den richtigen Zeitpunkt, um zuzuschlagen, und es scheint fast so, als wären sie nun bereit, die nächste Welle von Cyberangriffen auf Ziele in der Region und darüber hinaus zu starten. 

MuddyWater, die iranische, staatlich geförderte Gruppe von fortgeschrittenen hartnäckigen Bedrohungen (APT), die offiziell mit dem iranischen Ministerium für Geheimdienst und Sicherheit (MOIS) verbunden ist, hat erneut gezeigt, dass sie nicht nur ein regionales Ärgernis, sondern ein dauerhafter, sich entwickelnder und strategisch motivierter Gegner ist, der in der Lage ist, kritische Infrastrukturen tiefgreifend zu kompromittieren.

Die Entdeckung von Dindoor, einer zuvor unbekannten Hintertür, die das Deno-JavaScript-Laufzeitmodul neben dem Python-basierten Fakeset-Implantat ausnutzt, in US-amerikanischen Banknetzwerken, Flughäfen, gemeinnützigen Organisationen und verteidigungsnahen Softwareunternehmen eröffnet kein neues Kapitel. Stattdessen fügt es der Erzählung, die auf der Fortsetzung einer kalkulierten, lang andauernden Kampagne basiert, die sich seit mindestens Februar 2026 stillschweigend in westliche Netzwerke eingebettet hat, einige weitere Absätze hinzu. Das Timing ist kein Zufall.

Diese Analyse zerlegt die technische Architektur der Dindoor-Kampagne, untersucht die operative Entwicklung von MuddyWater, stellt die Bedrohung im Kontext der umfassenderen iranischen Cyberdoktrin dar und bietet Verteidigern ein fundiertes und umsetzbares Rahmenwerk zur Reaktion.

Vergessen Sie nicht, unseren Blog über die „Sicherung kritischer Infrastruktur vor APT-Gruppen während geopolitischer Ereignisse“ hier zu lesen. 

Wer ist MuddyWater? Ein Bedrohungsakteur, der sich weigert, zu verstummen

Ursprünge und Attribution

MuddyWater (auch bekannt als Seedworm, TEMP.Zagros, Mango Sandstorm, TA450 und Static Kitten) ist seit mindestens 2017 aktiv, als es erstmals bemerkte Zielgruppen in Saudi-Arabien, Irak, Israel und der Türkei angegriffen wurden. Im Februar 2022 haben das FBI, die CISA und das britische NCSC MuddyWater gemeinsam dem MOIS des Iran zugeschrieben.

Der operative Auftrag der Gruppe ist recht breit gefächert: Informationsbeschaffung, Diebstahl von Anmeldedaten, Netzwerkvorpositionierung und, wenn beauftragt, groß angelegte oder gezielte destruktive Operationen. Im Gegensatz zu rein finanziell motivierten Gruppen operiert MuddyWater als Zahnrad in einem größeren iranischen nationalen Sicherheitsapparat. Seine Kampagnen sind oft mit größeren geopolitischen Zielen synchronisiert und werden durch andere iranische APT-Clustern ergänzt, darunter OilRig (APT34), Charming Kitten (APT42), Elfin, Fox Kitten und Aktivistenfronten wie Handala Hack und Void Manticore.

Schnelle Werkzeugiteration: Ein bestimmender Faktor für MuddyWater

Was MuddyWater von vielen APT-Gruppen unterscheidet, ist seine Fähigkeit, Werkzeuge schnell zu modifizieren und Varianten einzuführen. Ursprünglich auf PowerShell-basierte Implantate und benutzerdefinierte Hintertüren wie POWERSTATS angewiesen, hat die Gruppe ihre Malware-Entwicklungsbemühungen über Python, C#, Go und nun JavaScript über das Deno-Laufzeitmodul hinweg schrittweise erweitert. Jede Iteration spiegelt eine bewusstere Reaktion auf die verbesserte Sichtbarkeit der Verteidiger in frühere Toolsets wider.

Der Wechsel zu Deno ist ein Beispiel für diesen evolutionären Druck, auf den die Gruppe reagiert hat. Sicherheitsoperationen (SOCs) haben inzwischen erhebliche Erkennungsfähigkeiten rund um Bedrohungen auf Node.js und den Missbrauch von traditionellen Skripting-Interpretern aufgebaut. Durch das Wechseln zu Deno, einem modernen, sicherheitsorientierten Laufzeitmodul mit einem unverwechselbaren Prozess-Signatur, bemüht sich MuddyWater darum, Erkennungslücken auszunutzen. Dies ist nicht nur Improvisation, sondern feindliches Lernen im großen Stil.

Die Bereitschaft von MuddyWater, Werkzeuge schnell umzuarbeiten (selbst in Zeiten mit niedriger Bandbreite) ist eines seiner am meisten unterschätzten Merkmale. Organisationen, die sich auf IOC-basierte Erkennung aus früheren Kampagnen verlassen, werden fast immer hinter dem Curve sein. Verhaltensanalysen sollten daher die Grundlage sein und nicht das Rückzugsgebiet.

Anatomie der Dindoor-Hintertür: Technische Tiefenanalyse

Warum Deno? Die strategische Wahl eines Laufzeitmoduls

Deno ist ein modernes, sicheres JavaScript- und TypeScript-Laufzeitmodul, entwickelt von Ryan Dahl (dem gleichen Entwickler hinter Node.js). Es wurde speziell entwickelt, um die architektonischen Mängel von Node.js zu adressieren. Es bietet standardmäßig sandbox-gestützte Ausführung, Unterstützung für TypeScript und ein berechtigungsbasiertes Modell. In einem legitimen Entwickler-Ökosystem sind diese Funktionen Tugenden, die gepriesen werden sollten. Für einen Bedrohungsakteur jedoch stellen sie ein nahezu perfektes Ausweichfahrzeug und Pfad dar.

Die meisten Enterprise Endpoint Detection and Response (EDR)-Tools und Security Information and Event Management (SIEM)-Plattformen sind darauf abgestimmt, verdächtige Aufrufe gängiger Laufzeitmodule wie cmd.exe, PowerShell, python.exe, node.exe und wscript.exe zu überwachen. Deno (deno.exe) ist selten in diesen Überwachungslisten. Wenn Dindoor über Deno ausgeführt wird, könnte der resultierende Prozessbaum einem geschulten Analysten anormal erscheinen, aber wird unentdeckt durch Signatur-basierte oder Prozesslinien-Regelsätze gehen, die keine Deno-Abdeckung haben.

Da Deno Module zur Laufzeit über URLs abruft und native HTTP/S-Imports unterstützt, kann ein Dindoor-Payload auf Festplatte bemerkenswert kompakt sein. Grundsätzlich ein dünner Loader, der seine eigentliche Funktionalität zur Ausführungszeit aus Angreifer-kontrollierten oder legitimen Cloud-Infrastrukturen zieht, wodurch durch statische Analysen erheblich erschwert wird.

Die Infektionskette

Während der genaue Initialzugriffsvektor nicht genannt wurde, haben wir in der Vergangenheit gesehen, dass in jedem Dindoor-Vorfall die etablierte Handelsgeheimnisse von MuddyWater einen klaren Referenzrahmen bieten. Die Gruppe verwendet hauptsächlich Spear-Phishing-E-Mails und Honigfallen-Operationen, um erste Zugänge zu etablieren, wobei sie hochrangige Personen einschließlich Administratoren, Finanzpersonal und privilegierte Nutzer mit überzeugenden Ködern ins Visier nimmt.

Sobald der anfängliche Zugang erfolgt ist, erfolgt der Angriff in mehreren Stufen: