Symantec dokumentiert eine MuddyWater-Kampagne über neun Länder. Bemerkenswert: Die Angreifer aus Iran nutzen signierte SentinelOne-Binaries als Tarnung. Was deutsche Industrie und Mittelstand jetzt prüfen sollten.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Eine staatlich gelenkte iranische Gruppe hat in den ersten drei Monaten 2026 mindestens neun Organisationen über vier Kontinente angegriffen. Symantec und Carbon Black, beide unter dem Dach von Broadcom, haben den Ablauf in einem detaillierten Threat-Intelligence-Report publik gemacht. Besonders heikel: Die Angreifer luden ihre Schadcode-DLLs über signierte Binärdateien von Fortemedia und SentinelOne. Damit instrumentalisierten die Hacker ausgerechnet jenes Sicherheitsprodukt, das viele Unternehmen zur Abwehr einsetzen.
Das Wichtigste in Kürze
- Symantec Threat Hunter Team weist eine MuddyWater-Kampagne in Q1 2026 mit neun Opfern in neun Ländern auf vier Kontinenten nach.
- Zu den bestätigten Zielen gehören ein großer südkoreanischer Elektronikhersteller, ein internationaler Flughafen im Nahen Osten und ein Finanzdienstleister in Lateinamerika.
- DLL-Sideloading über signierte Binaries von Fortemedia und SentinelOne unterläuft klassische Endpoint-Erkennung.
- MuddyWater wird dem iranischen Geheimdienst Ministry of Intelligence and Security (MOIS) zugerechnet.
Wer ist MuddyWater?
Bekannte Gruppe, neues Tempo. Die unter den Aliasnamen Seedworm, Static Kitten und Temp Zagros geführte Gruppe operiert seit mindestens 2017. Symantec und westliche Behörden ordnen sie dem iranischen Geheimdienst MOIS zu. Bislang lag der Fokus überwiegend auf dem Nahen Osten und auf Zielen in den USA und Israel. Q1 2026 markiert die deutliche Ausweitung in den asiatischen und lateinamerikanischen Raum.
Welche Ziele wurden 2026 getroffen?
Branchen-Mix. Symantec listet neun Organisationen aus drei Branchengruppen. Industrielle Fertigung und Elektronikproduktion stehen an erster Stelle. Bildungseinrichtungen und öffentliche Verwaltung bilden die zweite Gruppe. Finanzdienstleister und Professional Services schließen die Aufstellung ab.
Südkorea als Referenzfall. Der am besten dokumentierte Angriff lief vom 20. bis 27. Februar 2026 gegen einen großen südkoreanischen Elektronikhersteller. Die Angreifer hielten sich eine Woche im Netzwerk auf. Symantec spricht von „intelligence-driven“ Aktivität mit Fokus auf Industriespionage, geistiges Eigentum und Zugang zu Downstream-Kunden. Der Name des Konzerns bleibt unter Verschluss.
Wie funktioniert das DLL-Sideloading?
Vertrauen als Angriffspfad. Die Angreifer brachten zwei signierte Binärdateien auf die Zielsysteme. Eine stammt von Fortemedia, einem Hersteller von Audio-Komponenten, die zweite von SentinelOne, einem der weltweit größten Anbieter von Endpoint-Detection-Lösungen. Beide Binaries luden manipulierte DLLs nach. Auf einem Endpoint, der SentinelOne als Schutz-Software vertraut, erscheint die böse DLL als legitimer Teil dieser Trust-Kette.
Mehrstufige Tools. Die geladenen DLLs enthielten ChromElevator, ein öffentlich verfügbares Tool zum Auslesen von Credentials aus Chromium-Browsern. Ergänzend kamen PowerShell-Skripte über Node.js zum Einsatz, dazu Bildschirmaufnahmen, SAM-Hive-Diebstahl und ein SOCKS5-Reverse-Proxy. Die Beaconing-Frequenz lag bei 90 Sekunden, ein typisches Implantatsmuster.
Die Trust-Exploitation einer EDR-Lösung ist die unangenehmste Lehre aus dieser Kampagne. Mittelständische Verantwortliche mit SentinelOne, CrowdStrike oder ESET im Einsatz sollten umgehend Verhaltensanalysen aktivieren statt sich auf Signatur-Checks zu verlassen.
— Markus Seyfferth, Chefredakteur Dr. Web
Welche Konsequenzen ergeben sich für deutsche Mittelständler?
Lieferanten-Risiko. Deutsche Maschinenbauer, Automobilzulieferer und Chemiebetriebe haben Lieferanten in Südkorea und Südostasien. Eine Woche unentdeckter Zugriff auf einen großen Elektronikkonzern öffnet die Tür zu Kundenstammlisten, Spezifikationen und unter Umständen zu APIs für die Direktvernetzung. Genau diesen Downstream-Effekt nennt Symantec als wahrscheinliche Motivation.
Trust-Architektur prüfen. Unternehmen mit SentinelOne, ESET, CrowdStrike oder vergleichbaren EDR-Lösungen im Einsatz sollten aktuell zwei Dinge verifizieren. Verhaltensanalysen statt reine Signaturvergleiche müssen aktiv sein. Ungewöhnliche DLL-Ladevorgänge in signierten Prozessen gehören in die Echtzeitüberwachung. Der Pillar zu den Cybersecurity-Grundlagen auf Dr. Web und das Glossar liefert die operative Struktur für diese Prüfung.
Welche Schritte gehören diese Woche auf die Agenda?
Drei Pflichtaufgaben. Im ersten Block prüfen Sie die Endpoint-Detection-Konfiguration und stellen sicher, dass DLL-Sideloading detektiert wird. Parallel dazu sollten Sie eingehende Datenverbindungen aus Südkorea, Südostasien und dem Nahen Osten auf Anomalien prüfen, besonders SOCKS5-Tunnel. Im dritten Block lohnt der Blick auf die Lieferanten-Sicherheitsmaßnahmen. Eine BSI-Anfrage zur Bedrohungslage iranischer Akteure bringt aktuelle Lagebild-Daten. Ergänzend zeigt der BSI-Cybersicherheitsmonitor 2026, wie schnell sich solche Kampagnen auf die deutsche Bedrohungslage übertragen. Die KI-Phishing-Analyse rundet das Lagebild ab.
Geopolitik trifft Endpoint. MuddyWater bestätigt, dass nationale Cyber-Programme längst über die klassischen Konfliktlinien hinaus operieren. Eine Woche unentdeckt in einem Elektronikkonzern. Mit signierten EDR-Binaries als Tarnkappe. Die Grenze zwischen „uns trifft das nicht“ und „wir merken es nur nicht“ ist in Q1 2026 erneut verschoben worden.
