Die **MuddyWater** APT (auch bekannt als Seedworm) wurde als Akteur hinter einer kürzlichen Kampagne identifiziert, die im ersten Quartal 2026 Organisationen auf vier Kontinenten betraf. Die Angriffe, die eine breite Palette von Branchen ins Visier nahmen, zeigen die sich entwickelnden Taktiken und die zunehmende Raffinesse der Gruppe. ### Angestrebte Sektoren Die Kampagne richtete sich gegen die industrielle und elektronische Fertigung, Bildungs- und öffentliche Einrichtungen, Finanzdienstleistungen und professionelle Dienstleistungen. Bemerkenswert ist, dass ein großer südkoreanischer Elektronikhersteller kompromittiert wurde und die Angreifer eine Woche lang im Februar 2026 Zugang zu seinem Netzwerk hatten. Zu den weiteren Opfern gehörten ein internationaler Flughafen im Nahen Osten, südostasiatische Industriehersteller und ein lateinamerikanischer Finanzdienstleister. ### DLL Side-Loading für Tarnung Die Angreifer verließen sich stark auf DLL Side-Loading-Techniken, um bösartigen Code auszuführen und sich dabei als legitime Software auszugeben. Signierte Binärdateien von **Fortemedia** (fmapp.exe) und **SentinelOne** (sentinelmemoryscanner.exe) wurden missbraucht, um bösartige DLLs zu laden. Laut den Cybersicherheitsteams von **Broadcom** ist die Verwendung von "sentinelmemoryscanner.exe" eine bewusste Entscheidung, um signaturbasierte Erkennung zu umgehen. Zuvor dokumentierte **Group-IB** die Verwendung von "fmapp.exe" zum Sideloading von "fmapp.dll" im Zusammenhang mit **MuddyWater**s **Operation Olalampo**-Kampagne. **Huntress** berichtete, dass diese DLL Code enthält, um eine vom Angreifer kontrollierte IP-Adresse zu kontaktieren. ### ChromElevator: Diebstahl von Browserdaten Beide DLLs enthielten ein Open-Source-Tool namens **ChromElevator**, das entwickelt wurde, um Passwörter, Cookies und Zahlungskartendaten aus Chromium-basierten Browsern zu stehlen. Diese Technik ermöglicht es den Angreifern, App-Bound Encryption (ABE) -Schutzmaßnahmen in Browsern wie **Google Chrome** zu umgehen. ### Node.js und PowerShell für Aufklärung Ein bemerkenswerter Aspekt der Angriffe ist die Verwendung von Node.js-Skripten zum Starten von PowerShell-Code, der für Erkundungs- und Informationssammlungsoperationen verantwortlich ist. Gestohlene Daten wurden auf sendit[.]sh, einem öffentlichen Dateitransferdienst, zwischengelagert. Forscher von **Symantec** und **Carbon Black** beobachteten, dass eine auf node.exe basierende Implantatkette verwendet wurde, um PowerShell-Skripte abzulegen, die Aufklärung, Bildschirmaufnahmen, Diebstahl des SAM-Hive, Rechteerweiterung und SOCKS5-Reverse-Proxy-Tunneling durchführten. ### Laterale Bewegung und Persistenz Die Angriffe beinhalteten auch das Auslesen von Anmeldeinformationen, um die laterale Bewegung über die Netzwerke zu erleichtern. Bei der Kompromittierung des südkoreanischen Elektronikherstellers führte **MuddyWater** wiederholt PowerShell-basierte Aufklärung durch und führte die DLL Side-Loading-Paare erneut aus, um den Zugriff aufrechtzuerhalten. ### Iranische Sanktionen und breitere Cyberaktivitäten Der Europäische Rat hat kürzlich Sanktionen gegen das iranische Unternehmen **Emennet Pasargad** verhängt, da dieses einen schwedischen SMS-Dienst gehackt, auf eine französische Abonnentendatenbank zugegriffen und während der Olympischen Spiele 2024 in Paris Desinformation verbreitet hat. **Emennet Pasargad**, auch bekannt als Shahid Shushtari und verbunden mit dem Cyber-Electronic Command (IRGC-CEC) der iranischen Revolutionsgarde, wurde mit erheblichen finanziellen Schäden und Störungen für US-Unternehmen und Regierungsbehörden in Verbindung gebracht. Iran-gestützte Hacker wurden auch mit einer Exfiltrationskampagne in Verbindung gebracht, die sich gegen Organisationen in den USA, Israel, Saudi-Arabien und der Türkei richtete. Obwohl diese Vorfälle von einer pro-iranischen Persona namens **Ababil of Minab** beansprucht wurden, haben Analysen von **Gambit Security** die Kampagneninfrastruktur mit dem iranischen Ministerium für Nachrichtendienste und Sicherheit (MOIS) in Verbindung gebracht. ### FileFiend: Exfiltrations-Tool Die Kampagne nutzte ein maßgeschneidertes C++-Tool zur Sammlung und Exfiltration von Dateien, das intern den Codenamen FileFiend trug. Dieses Tool konnte lokale Laufwerke und SMB-Freigaben aufzählen, das Dateisystem durchlaufen und Dateien an einen hartkodierten C2-Server senden. Alternativ wurden interessierende Daten in RAR-Archiven komprimiert und auf die öffentliche Website der Organisation hochgeladen, von wo sie mit dem Axel-Kommandozeilen-Downloadbeschleuniger extrahiert und über Proxychains getunnelt wurden.