Staatliche Hacker aus dem Iran setzen die **Chaos**-Ransomware als Tarnung für mutmaßliche Spionage- und Datendiebstahloperationen ein, so eine neue Untersuchung. ### Irreführende Taktiken von MuddyWater Incident Responder des Cybersicherheitsunternehmens **Rapid7** veröffentlichten einen Bericht über eine kürzliche Intrusion, die zunächst wie ein **Chaos**-Ransomware-Angriff aussah, aber später als Angriff von **MuddyWater**, einer iranischen APT-Gruppe, die mit dem Ministerium für Nachrichtendienste und Sicherheit (**MOIS**) des Landes verbunden ist, identifiziert wurde. **Rapid7**s Alexandra Blia und Ivan Feigl sagten, die Verwendung der **Chaos**-Ransomware „spiegelt eine konsequente Anstrengung wider, die operativen Absichten zu verschleiern und die Zuordnung zu erschweren“. „Während die Umgehung der Zuordnung ein gemeinsames Merkmal staatlich verbundener Akteure ist, hat die von **MuddyWater** berichtete Zunahme der operativen Aktivität seit Anfang 2026, die hauptsächlich Cyber-Spionage und potenzielle Vorbereitung für disruptive Operationen in westlichen und nahöstlichen Netzwerken umfasst, wahrscheinlich seine Abhängigkeit von irreführenden False-Flag-Operationen verstärkt“, so die beiden. ### Ursprünge der Chaos Ransomware Die **Chaos**-Ransomware-Operation existiert seit Februar 2025 und Cybersicherheitsexperten glauben, dass sie von ehemaligen Mitgliedern der inzwischen aufgelösten **BlackSuit**- und **Royal**-Ransomware-Gruppen entwickelt wurde. ### Erster Zugriff und Datendiebstahl **Rapid7** lieferte wenige Informationen über das Opfer im Zentrum des Vorfalls und schrieb lediglich, dass die Hacker eine Social-Engineering-Kampagne unter Nutzung von **Microsoft Teams** einsetzten, um den ersten Zugriff zu erlangen. Die Hacker kontaktierten Mitarbeiter über externe Chat-Anfragen und initiierten Einzelgespräche mit den Benutzern. Sie etablierten schließlich eine Bildschirmfreigabesitzung mit dem Opfer, bei der der Hacker auf Dateien im Zusammenhang mit der VPN-Konfiguration zugriff und die Opfer aufforderte, Anmeldedaten einzugeben. Die Bedrohungsakteure setzten auch ein Fernverwaltungstool ein, um tieferen Zugriff auf das System des Opfers zu ermöglichen. Nach einer nicht näher bezeichneten Zeit sandten die Hacker mehrere E-Mails an die Mitarbeiter des Unternehmens, in denen sie mit der Veröffentlichung gestohlener Daten drohten, falls kein Lösegeld gezahlt würde. Der Erpressungsprozess war ungeschickt, aber die Hacker veröffentlichten später gestohlene Daten, die das Unternehmen als legitim bestätigte, so die Forscher. **Rapid7** stellte fest, dass das Fehlen einer Dateiverschlüsselung eine weitere Inkonsistenz in dem Vorfall war, die sie dazu veranlasste, den wahren Täter hinter dem Angriff zu hinterfragen. ### Zuordnung zum iranischen MOIS Die Forscher fanden eine Fülle technischer Beweise, die auf das iranische **MOIS** hindeuteten. Die eingesetzte Malware und die verwendeten Zertifikate wiesen auf das typischerweise von der iranischen **MuddyWater**-Hacking-Gruppe verwendete Toolkit zurück. Die bei dem Angriff verwendete Infrastruktur wurde zuvor von Sicherheitsanbietern mit einer anderen **MuddyWater**-Kampagne in Verbindung gebracht, die im März Organisationen im Nahen Osten und Nordafrika ins Visier nahm. Blia und Feigl fügten hinzu, dass der Vorfall „die zunehmende Konvergenz zwischen staatlich geförderten Intrusionen und Cyberkriminalität aufzeigt“. Forscher wiesen letztes Jahr **MuddyWater** dem **Qilin**-Ransomware-Ökosystem zu, nachdem die Variante zur Attacke auf eine israelische Organisation verwendet wurde. Der Angriff wurde schließlich direkt dem iranischen **MOIS** zugeschrieben, was möglicherweise dazu führte, dass die Hacker die Marke **Chaos**-Ransomware übernahmen, um „das Zuordnungsrisiko zu verringern und ein gewisses Maß an glaubhafter Abstreitbarkeit aufrechtzuerhalten“, sagte **Rapid7**. ### Verschwimmende Grenzen: Staatliche Akteure und Ransomware Mehrere staatliche Gruppen aus China, Russland, Nordkorea und dem Iran haben das Ransomware-as-a-Service-Framework übernommen, entweder als Tarnung für Spionageangriffe oder als Mittel zur Störung von Gegnern. Blia und Feigl sagten, Ransomware ermögliche es staatlichen Akteuren, Motivationen zu verschleiern und die Zuordnung durch westliche Strafverfolgungsbehörden und Cyber-Verteidiger zu erschweren. Forscher warnten im Februar, dass nordkoreanische staatliche Hacker die **Medusa**-Ransomware in Angriffen einsetzen. In mehreren anderen Fällen wurde Ransomware als Tarnung für chinesische Spionageaktivitäten verwendet. Strafverfolgungsbehörden haben auch Fälle gesehen, in denen iranische Regierungshacker ihren offiziellen Zugang nutzten, um später finanziell motivierte Angriffe zu starten, als Teil einer Bemühung, doppelt zu profitieren und als Cyberkriminelle zu arbeiten, indem sie ihre Hacking-Fähigkeiten monetarisieren. Das **FBI** berichtete zuvor, dass es iranische Akteure bei der Partnerschaft mit Affiliates der **NoEscape**, **Ransomhouse** und **AlphV** Ransomware-Operationen beobachtet hat – und letztendlich einen Prozentsatz der Lösegeldzahlungen erhalten hat. Zu Beginn der kinetischen Feindseligkeiten zwischen dem Iran und den Vereinigten Staaten gab es eine Flut von Cyberaktivitäten, darunter mutmaßliche Ransomware-Angriffe und Wiper-Vorfälle, die von iranischen Akteuren gestartet wurden. Eine US-Gesundheitsorganisation wurde Ende Februar mit der iranischen **Pay2Key**-Ransomware angegriffen, und ein bekanntes Medizintechnikunternehmen wurde wochenlang durch einen Cyberangriff iranischer Hacker beschädigt.