Die mutmaßlich dem Iran nahestehende Hackergruppe Dust Specter hat irakische Regierungsbeamte mit zwei neuen Malware-Varianten angegriffen, indem sie sich als Außenministerium ausgab. Die Kampagne nutzte kompromittierte irakische Infrastruktur und raffinierte Evasionsmethoden.
Sicherheitsforschern des Zscaler ThreatLabz ist im Januar 2026 eine Angriffskampagne aufgefallen, die das Hackerteam Dust Specter mit hoher Wahrscheinlichkeit dem iranischen Kontext zuordnet. Die Gruppe hatte es auf irakische Regierungsvertreter abgesehen und nutzte Social-Engineering-Tricks, um sich als Außenministerium auszugeben und mehrere bislang unbekannte Schadprogramme zu verteilen.
Die Kampagne folgte zwei unterschiedlichen Infektionswegen und endete jeweils mit der Installation von vier Malware-Varianten: SPLITDROP, TWINTASK, TWINTALK und GHOSTFORM. Besonders bemerkenswert ist die technische Raffinesse der Angreifer. Wie Sicherheitsexperte Sudeep Singh erklärte, nutzte Dust Specter zufällig generierte URI-Pfade für die Kommunikation mit ihren Command-and-Control-Servern (C2). Zusätzliche Prüfsummen im URL verhinderten unautorisierten Zugriff, während Geofencing und Überprüfung des Browser-Identifiers weitere Sicherheitsebenen bildeten.
Auffällig ist auch, dass die Angreifer kompromittierte irakische Behördeninfrastruktur zur Bereitstellung ihrer Malware-Dateien missbrauchten und verschiedene Techniken zur Verzögerung der Ausführung einsetzten.
Der erste Infektionsweg beginnt mit einem passwortgeschützten RAR-Archiv. Darin befindet sich SPLITDROP, ein .NET-Dropper, der als Einstiegsvektor für zwei weitere Module fungiert: TWINTASK agiert als Ausführungsmodul, TWINTALK als C2-Orchestrator.
TWINTASK tarnt sich als legitime Mediathek-Datei (“libvlc.dll”) und wird vom echten “vlc.exe”-Programm geladen. Alle 15 Sekunden prüft die Malware eine lokale Textdatei auf neue Befehle und führt diese via PowerShell aus. Ein besonderer Fokus liegt auf der Persistenzierung über Einträge in der Windows-Registry. Ausgaben und Fehler landen in einer separaten Log-Datei.
Beim Start beauftragt TWINTASK außerdem die Ausführung von “WingetUI.exe”, was wiederum zum Laden von TWINTALK führt. Dieses Modul stellt die Verbindung zum C2-Server her, koordiniert mit TWINTASK und leitet Ergebnisse zurück. Dateien können heruntergeladen und hochgeladen werden, und Befehle können in die Polling-Datei geschrieben werden. Das System arbeitet nach einem zeitversetzten Polling-Mechanismus — nach dem Start verzögert sich die erste Anfrage um ein zufälliges Intervall, um Erkennungsmechanismen zu umgehen.
Der zweite Infektionspfad stellt eine Weiterentwicklung dar. Hier ist GHOSTFORM ein Monolith, der alle Funktionen in einem einzigen Programm vereinigt. Ein entscheidender Unterschied: Der Code wird direkt im Speicher ausgeführt, ohne dass Dateien auf der Festplatte hinterlassen werden.
Einige GHOSTFORM-Varianten enthalten zudem eine festcodierte URL zu einem Google-Formular, das automatisch im Standard-Browser öffnet. Das Formular präsentiert sich als Umfrage des irakischen Außenministeriums — geschrieben auf Arabisch, ein direkter Angriff auf die Glaubwürdigkeit.
Bei der Analyse des Quellcodes fanden die Forscher Platzhalter, Emojis und Unicode-Text — ein starkes Indiz dafür, dass KI-Tools bei der Malware-Entwicklung zum Einsatz kamen.
Weitere Verbindungen zum Iran zeigen sich im Einsatz spezialisierter .NET-Backdoors, einem bekannten Merkmal iranischer Hacker-Gruppen. Der C2-Server mit der Domain “meetingapp[.]site” wurde bereits im Juli 2025 für eine ähnliche Kampagne genutzt. Damals stellte Dust Specter eine gefälschte Cisco-Webex-Einladungsseite zur Verfügung, die Nutzer aufforderte, einen PowerShell-Befehl auszuführen — eine Taktik, die an ClickFix-Angriffe erinnert.
Das besagte PowerShell-Skript erstellt ein Verzeichnis und versucht, eine Payload von derselben Domain zu laden und auszuführen. Außerdem wird eine geplante Aufgabe erstellt, um die Malware alle zwei Stunden zu starten.
Die Tatsache, dass irakische Regierungsinfrastruktur als Zweitplattform diente, wurde auch bei anderen Gruppen wie OilRig (APT34) beobachtet. Zscaler bewertet die Zuordnung zu Dust Specter mit mittlerer bis hoher Konfidenz und sieht die Kampagne als Beispiel für moderne Angriffstrends: raffinierte Social Engineering, ClickFix-ähnliche Techniken und den zunehmenden Einsatz generativer KI bei der Malware-Entwicklung.
Quelle: The Hacker News