Die Kampagne zeigt typische Merkmale iranischer Hackergruppen wie Peach Sandstorm und Gray Sandstorm. Sicherheitsexperten haben Ähnlichkeiten in den Angriffsmethoden festgestellt, die auf eine bekannte Tätergruppe hindeuten.
Wie funktioniert die Attacke?
Password Spraying ist eine Brute-Force-Methode, bei der Angreifer ein einfaches Passwort gegen viele verschiedene Benutzernamen testen. Im Gegensatz zu klassischen Brute-Force-Angriffen, die schnell erkannt werden, ist diese Technik schwer zu detektieren und umgeht Rate-Limiting-Schutzmaßnahmen.
Die Attacke läuft nach einem dreischrittigen Schema ab: Zuerst führen die Hacker aggressive Scans von Tor-Exit-Nodes durch, anschließend versuchen sie sich einzuloggen und extrahieren dann sensible Daten wie Mailbox-Inhalte.
Check Point hat festgestellt, dass die Angreifer auch kommerzielle VPN-Knoten nutzten, die unter der IP-Range AS35758 gehören. Diese Infrastruktur wird mit bisherigen iranischen Operationen im Nahen Osten in Verbindung gebracht.
Ziele und Betroffene
Die Kampagne fokussierte sich primär auf Israel und die VAE, doch die Aktivitäten beschränkten sich nicht darauf. Berichte zeigen auch begrenzte Angriffe gegen Ziele in Europa, den USA und Großbritannien. Deutsche Unternehmen mit internationalen Aktivitäten sollten diese Warnung ernst nehmen.
Weitere iranische Cyberangriffe
Die Password-Spraying-Kampagne ist nicht isoliert. Gleichzeitig verzeichnet die Sicherheitscommunity verstärkte Aktivitäten der iranischen Ransomware-Gruppe Pay2Key. Diese Gruppe hat Anfang 2026 ein US-amerikanisches Gesundheitswesen-Unternehmen angegriffen und dabei fortgeschrittene Evasions- und Anti-Forensik-Techniken eingesetzt.
Pay2Key nutzt legitime Tools wie TeamViewer, um sich Zugang zu verschaffen, deaktiviert dann Microsoft Defender und löscht Protokolle, um ihre Spuren zu verwischen. Besonders bemerkenswert: Der Gruppe wurde eine Linux-Variante ihrer Ransomware nachgewiesen, die mit ChaCha20-Verschlüsselung arbeitet und Root-Privilegien benötigt.
Empfohlene Schutzmaßnahmen
Unternehmen sollten sofort folgende Maßnahmen ergreifen: Überwachen Sie Sign-in-Logs auf verdächtige Muster, aktivieren Sie Multi-Faktor-Authentifizierung (MFA) für alle Benutzer und implementieren Sie geografische Zugriffsbeschränkungen über Conditional Access. Audit-Logs sollten permanent aktiviert sein, um Kompromittierungen schnell zu erkennen.
Die Iran-linked Cyberangriffe unterstreichen ein wachsendes Problem: Staatlich unterstützte Hackertruppen verschwimmen die Grenzen zwischen Cyberkriminalität und Staatsspionage. Für deutsche Organisationen bedeutet dies erhöhte Vigilanz und verstärkte Sicherheitsmaßnahmen.