Check Point zufolge wird die Technik seit Längerem von iranischen Hackergruppen wie Peach Sandstorm und Gray Sandstorm (früher DEV-0343) genutzt, um in Zielnetzwerke einzudringen. Die aktuelle Kampagne läuft in drei Phasen ab: Zunächst erfolgt aggressives Scannen beziehungsweise Password-Spraying über Tor-Exit-Nodes, anschließend der eigentliche Anmeldevorgang und schließlich das Abgreifen sensibler Daten wie Postfachinhalte.

„Die Analyse der M365-Protokolle deutet auf Ähnlichkeiten mit Gray Sandstorm hin, darunter der Einsatz von Red-Team-Werkzeugen, um diese Angriffe über Tor-Exit-Nodes durchzuführen", erklärte Check Point. Der Akteur habe kommerzielle VPN-Knoten im autonomen System AS35758 (Rachamim Aviel Twito) verwendet, was zu jüngeren Aktivitäten passe, die mit Iran-nahen Operationen im Nahen Osten in Verbindung stehen.

Zur Abwehr empfiehlt Check Point, Anmeldeprotokolle auf Anzeichen von Password-Spraying zu überwachen, den Zugang über Conditional-Access-Regeln auf zugelassene geografische Standorte zu beschränken, Mehr-Faktor-Authentifizierung (MFA) für alle Nutzer durchzusetzen und Audit-Protokolle für spätere Untersuchungen zu aktivieren.

Parallel dazu wurde laut Check Point Ende Februar 2026 eine US-Gesundheitsorganisation von Pay2Key angegriffen, einer iranischen Ransomware-Gruppe mit Verbindungen zur Regierung des Landes. Die Ransomware-as-a-Service-Operation, die Bezüge zur Gruppe Fox Kitten aufweist, trat erstmals 2020 in Erscheinung. Die eingesetzte Variante ist eine Weiterentwicklung früherer Kampagnen aus dem Juli 2025 und nutzt verbesserte Techniken zur Tarnung, Ausführung und Anti-Forensik. Nach Angaben von Beazley Security und Halcyon wurden bei dem Angriff keine Daten exfiltriert – ein Bruch mit der sonst üblichen doppelten Erpressung der Gruppe.

Der Zugangsweg blieb unbestimmt; die Angreifer nutzten ein legitimes Fernzugriffswerkzeug wie TeamViewer, um Fuß zu fassen, sammelten Zugangsdaten für die laterale Bewegung, deaktivierten Microsoft Defender Antivirus durch das falsche Signal eines aktiven Drittanbieter-Virenschutzes, unterbanden die Wiederherstellung, brachten die Ransomware aus, hinterließen eine Lösegeldforderung und löschten Protokolle. „Indem die Akteure die Protokolle am Ende statt zu Beginn der Ausführung löschen, stellen sie sicher, dass selbst die eigene Aktivität der Ransomware getilgt wird, nicht nur das, was ihr vorausging", erklärte Halcyon.

Zu den Änderungen nach der Rückkehr der Gruppe im vergangenen Jahr zählt, dass Partnern nun 80 statt zuvor 70 Prozent der Lösegeldeinnahmen angeboten werden, wenn sie sich an Angriffen gegen Irans Gegner beteiligen. Einen Monat später wurde eine Linux-Variante von Pay2Key entdeckt. „Das Sample ist konfigurationsgesteuert, benötigt Root-Rechte und ist darauf ausgelegt, einen breiten Dateisystembereich zu durchlaufen, Einhängepunkte zu klassifizieren und Daten mit ChaCha20 vollständig oder teilweise zu verschlüsseln", erklärte Morphisec-Forscher Ilia Kulmin. Vor der Verschlüsselung schwäche es die Abwehr, indem es Dienste stoppe, Prozesse beende, SELinux und AppArmor deaktiviere und einen Cron-Eintrag zum Neustartzeitpunkt einrichte.

Im März 2026 berichtete Halcyon zudem, dass der Administrator der Sicarii-Ransomware namens Uke pro-iranische Akteure aufgrund zahlreicher Partneranfragen zum Einsatz des Baqiyat 313 Locker (auch BQTlock) aufgerufen habe. BQTLock verfolgt nach diesen Angaben pro-palästinensische Motive und griff seit Juli 2025 Ziele in den VAE, den USA und Israel an.