In dieser Folge: die Cyber-Dimension des Iran-Konflikts — eine sechswöchige Retrospektive von den ersten Angriffen am 28. Februar bis zum fragilen Waffenstillstand vom 9. April 2026, mit einer vollständigen Analyse der Entwicklung iranischer und pro-iranischer Cyber-Operationen — von den ersten Hacktivist-DDoS-Wellen bis zur bestätigten Ausbeutung industrieller Steuerungssysteme innerhalb der Vereinigten Staaten.
Am 28. Februar 2026 starteten die Vereinigten Staaten und Israel gemeinsame Militärschläge gegen iranische strategische Ziele im Rahmen der Operationen Epic Fury und Roaring Lion. Innerhalb von Stunden geschahen im Cyberspace zwei Dinge gleichzeitig: Irans inländische Internetkonnektivität brach auf zwischen einem und vier Prozent der normalen Kapazität ein, und eine koordinierte mehrvektorielle Cyber-Gegenoffensive wurde gestartet — eine Kombination aus staatlichen APT-Operationen und einer Koalition aus über sechzig Hacktivistengruppen. In den ersten zweiundsiebzig Stunden wurden mehr als 149 Angriffsreklamationen gegen 110 verschiedene Organisationen in sechzehn Ländern registriert. Zwei Gruppen machten siebzig Prozent des gesamten DDoS-Volumens aus: Keymous Plus, das auf GCC-Regierungen und Finanzinstitute abzielte, und DieNet, das die Flughäfen Bahrain und Sharjah, Riyadh Bank, Bank of Jordan und die Infrastruktur der VAE traf. Parallel dazu führte APT34/OilRig aktive Credential-Harvesting-Kampagnen gegen regionale Telekommunikations- und Regierungsinstitutionen durch, mit bestätigter Ausnutzung von CVE-2026-22719 — einer CVSS-8.1-Befehlsinjektions-Schwachstelle ohne Authentifizierungsanforderungen in VMware Aria Operations, die am 4. März in den CISA-KEV-Katalog aufgenommen wurde. MuddyWater führte die Operation Olalampo gegen IT-Anbieter in der META-Region durch. UNC1549 operierte gegen Ziele in den Bereichen Verteidigung, Luft- und Raumfahrt sowie Telekommunikation. APT35 und APT42 führten Cloud-Credential-Theft-Kampagnen gegen M365- und Google-Workspace-Umgebungen durch.
In der ersten Woche trat eine Supply-Chain-Dimension zutage: Staatliche Akteure begannen, Schadcode in beliebte npm- und PyPI-Pakete zu injizieren, der nur innerhalb von Produktions-CI/CD-Pipelines aktiviert wird, mit KI-generiertem Code zur Umgehung konventioneller Erkennungstools. Am 31. März wurde die npm-Bibliothek axios — über eine Milliarde monatliche Downloads — über den Diebstahl von Maintainer-Anmeldedaten kompromittiert. Die schadhaften Versionen 1.14.1 und 0.30.4 enthielten eine versteckte Abhängigkeit, plain-crypto-js 4.2.1, die ein Post-Install-Dropper ausführte und einen plattformübergreifenden RAT für Windows, macOS und Linux einsetzte. Jede Entwicklungsumgebung, die axios während des Kompromittierungsfensters installiert oder aktualisiert hat, sollte als potenziell betroffen behandelt werden.
Ebenfalls am 31. März bezeichnete die IRGC formal westliche Technologie- und Finanzunternehmen als legitime Ziele für Vergeltungsoperationen, wirksam ab dem 1. April. Zu den genannten Zielen gehören Cisco, HP, Intel, Oracle, Microsoft, Apple, Google, Meta, IBM, Dell, Nvidia und Palantir im Technologiesektor — alle als hohes Bedrohungsniveau eingestuft — JPMorgan Chase im Finanzbereich sowie Boeing und General Electric in der Verteidigungs- und Industriebranche. Diese Einstufung verwandelte die Bedrohung von opportunistischer Hacktivist-Aktivität in eine erklärte Targeting-Haltung gegen namentlich genannte westliche Entitäten.
Die operativ bedeutsamste Eskalation ereignete sich am 8. April 2026. Das FBI, CISA, NSA, EPA, das Energieministerium und USCYBERCOM veröffentlichten ein gemeinsames Advisory, das die aktive Ausnutzung von speicherprogrammierbaren Steuerungen in amerikanischen Wasser-, Abwasser-, Energie- und Behördensektoren durch mit Iran verbundene APT-Akteure bestätigte, mit bestätigten Betriebsstörungen und finanziellen Verlusten. Zu den Zielgeräten gehören Rockwell Automation CompactLogix und Micro850 PLCs, wobei die Aktivitäten auf eine mögliche Ausweitung auf Siemens-S7-Geräte hindeuten. Akteure griffen auf internetexponierte PLCs über Auslandsinfrastrukturen und Rockwells Studio 5000 Logix Designer zu, manipulierten Projektdateien und HMI/SCADA-Displays. Dies ist keine Einschätzung — es ist ein bestätigtes gemeinsames Regierungs-Advisory mit bestätigten operativen Auswirkungen. Der Übergang von DDoS und Datenexfiltration zur bestätigten OT/PLC-Exploitation mit operativen Konsequenzen stellt eine qualitative Eskalation des Bedrohungsniveaus dar, die jeder Industriebetreiber sofort in seine Verteidigungshaltung integrieren muss.
Zu den Erkennungsprioritäten: alle npm- und PyPI-Installationen auf die kompromittierten axios-Versionen und die plain-crypto-js-Abhängigkeit prüfen. Den IOC-Satz des FBI/CISA/NSA-Advisories vom 8. April in SIEM- und EDR-Plattformen integrieren, mit erweiterter Überwachung von SCADA- und ICS-Systemen sowie internetexponierter OT-Verbindungen auf den Ports 44818, 2222, 102, 22 und 502. Für Unternehmensumgebungen: APT34-DNS-Hijacking und APT35/42-Cloud-Credential-Theft bleiben aktiv — M365- und Google-Workspace-Umgebungen auf anomale Authentifizierungsmuster überwachen. Jede Organisation, die in der IRGC-Einstufung vom 31. März namentlich genannt wird, sollte diese Bedingung als bestätigte erhöhte Bedrohung behandeln, nicht als Hintergrundrisiko.
Quellen
- CISA – Joint advisory AA26-097A: Iranian-affiliated cyber actors exploit programmable logic controllers across US critical infrastructure : https://www.cisa.gov/news-events/cybersecurity-advisories/aa26-097a
- Cybersecurity Dive – Iran-linked hackers target water and energy in US, FBI and CISA warn : https://www.cybersecuritydive.com/news/iran-linked-hackers-targeting-water-energy-in-us-fbi-and-cisa-warn/816949/
- Security Affairs – US agencies alert: Iran-linked actors target critical infrastructure PLCs : https://securityaffairs.com/190485/apt/u-s-agencies-alert-iran-linked-actors-target-critical-infrastructure-plcs.html
Nicht nachdenken, patchen!
Ihr Feedback ist willkommen.
E-Mail: radiocsirt@gmail.com
Website:https://www.radiocsirt.com/de
Wöchentlicher Newsletter:https://radiocsirtgermanedition.substack.com/