**MuddyWater**, eine APT-Gruppe mit Verbindungen zum Iran, ist aktiv an einer breiten Cyber-Spionagekampagne beteiligt, die auf eine Vielzahl von Organisationen weltweit abzielt. Zu den Opfern gehören ein großer südkoreanischer Elektronikhersteller, Regierungsbehörden, ein internationaler Flughafen im Nahen Osten, Industriehersteller in Asien und Bildungseinrichtungen. Forscher von **Symantec** berichten, dass der Bedrohungsakteur im Februar 2026 etwa eine Woche lang Zugang zum Netzwerk eines großen südkoreanischen Elektronikherstellers aufrechterhielt. Die Ziele der Gruppe scheinen auf Geheimdienstinformationen ausgerichtet zu sein, wobei der Schwerpunkt auf dem Diebstahl von Industrie- und geistigem Eigentum, staatlicher Spionage und dem Erhalt von Zugriff auf nachgelagerte Kunden oder Unternehmensnetzwerke liegt. ### Missbrauch von Fortemedia und SentinelOne Die Kampagne von Seedworm stützt sich stark auf DLL Sideloading, eine Technik, bei der legitime, signierte Software manipuliert wird, um bösartige DLLs zu laden. Dies ermöglicht es Angreifern, Sicherheitsmaßnahmen zu umgehen und Code innerhalb eines vertrauenswürdigen Prozesses auszuführen. Zwei legitime Binärdateien, die in dieser Kampagne missbraucht wurden, sind 'fmapp.exe', ein legitimes **Fortemedia**-Audio-Dienstprogramm, und 'sentinelmemoryscanner.exe', eine Komponente von **SentinelOne**. Die bösartigen DLLs (fmapp.dll und sentinelagentcore.dll) enthielten **ChromElevator**, ein frei verfügbares Post-Exploitation-Tool, das darauf ausgelegt ist, in Chrome-basierten Browsern gespeicherte Daten zu stehlen. **Symantec** beobachtete auch die fortgesetzte Nutzung von PowerShell, konsistent mit früheren Seedworm-Angriffen. In diesen jüngsten Vorfällen werden PowerShell-Payloads jedoch über Node.js-Loader gesteuert und nicht direkt ausgeführt. PowerShell wird für verschiedene bösartige Aktivitäten verwendet, darunter das Erfassen von Screenshots, Aufklärung, das Abrufen zusätzlicher Payloads, das Herstellen von Persistenz, das Stehlen von Anmeldeinformationen und das Erstellen von SOCKS5-Tunneln. ### Angriff auf ein koreanisches Unternehmen Laut der Analyse von **Symantec** erstreckte sich der Angriff auf den südkoreanischen Elektronikhersteller vom 20. bis 27. Februar. Der Name der angegriffenen Organisation wurde nicht bekannt gegeben. Die anfänglichen Phasen des Angriffs umfassten Host- und Domänenaufklärung, gefolgt von Antivirus-Enumeration über WMI, Screenshot-Erfassung und Bereitstellung zusätzlicher Malware. Der Diebstahl von Anmeldeinformationen wurde durch gefälschte Windows-Aufforderungen, den Diebstahl von Registry-Hives (SAM/SECURITY/SYSTEM) und die Verwendung von Kerberos-Ticket-Missbrauchswerkzeugen erreicht. Die Persistenz wurde durch Registry-Modifikationen hergestellt, wobei das Beaconing in Intervallen von 90 Sekunden erfolgte. Sideloaded Binärdateien wurden wiederholt neu gestartet, um den persistenten Zugriff aufrechtzuerhalten. "Das Tempo ist wieder konsistent mit Implant-gesteuerter Aktivität und nicht mit kontinuierlicher Operatorpräsenz", bemerkten die Forscher. Die Angreifer nutzten sendit.sh, einen öffentlichen Dateifreigabedienst, für die Datenexfiltration, wahrscheinlich um bösartige Aktivitäten zu verschleiern und sie mit normalem Netzwerkverkehr zu vermischen. Insgesamt hebt **Symantec** hervor, dass die jüngste Seedworm-Kampagne durch ihre geografische Expansion, operative Reife und den Missbrauch legitimer Tools und Dienste bemerkenswert ist, was auf eine Verlagerung hin zu heimlicheren und ausgefeilteren Angriffsmethoden hindeutet.  ## 99% dessen, was Mythos gefunden hat, ist immer noch ungepatcht. KI verband vier zero-days zu einem Exploit, der sowohl Renderer- als auch OS-Sandboxes umging. Eine Welle neuer Exploits steht bevor. Auf dem Autonomous Validation Summit (12. und 14. Mai) erfahren Sie, wie autonome, kontextreiche Validierung herausfindet, was ausnutzbar ist, beweist, dass Kontrollen greifen, und den Remediation-Loop schließt. [Beanspruchen Sie Ihren Platz](https://hubs.li/Q04crVgD0)