HackerangriffeSchwachstellenCyberkriminalität

MuddyWater-Hacker attackieren südkoreanischen Elektronikkonzern: Warnung für deutsche Unternehmen

Von CyberDeutsch Redaktion
MuddyWater-Hacker attackieren südkoreanischen Elektronikkonzern: Warnung für deutsche Unternehmen
Zusammenfassung

Die iranische Hackergruppe MuddyWater hat eine umfangreiche Spionagekampagne gestartet, die mindestens neun Organisationen in verschiedenen Ländern und Branchen ins Visier genommen hat. Zu den Zielen gehören ein südkoreanischer Elektronikkonzern, Regierungsbehörden, ein internationaler Flughafen im Nahen Osten sowie Industrie- und Bildungseinrichtungen. Die Sicherheitsforscher von Symantec dokumentierten, dass Angreifer im Februar 2026 für eine Woche in das Netzwerk des südkoreanischen Herstellers eindrangen, wobei der Fokus auf Diebstahl von Industriegeheimnissen und Behördenspionage lag. Die Attacke zeichnete sich durch ausgefeilte Techniken aus, insbesondere das Missbrauchen legitimer Software durch DLL-Sideloading und die Verwendung von Chrome-Datendiebstahl-Tools. Für deutsche Unternehmen und Behörden bedeutet dieser Vorfall eine erhöhte Bedrohung, da iranische APT-Gruppen traditionell auch europäische Ziele ins Visier nehmen. Die steigende operative Reife der Angreifer, kombiniert mit der Nutzung legitimer Tools und öffentlicher Dienste zur Verschleierung ihrer Aktivitäten, erschwert die Erkennung erheblich und unterstreicht die Notwendigkeit verbesserter Netzwerk-Überwachung und Incident-Response-Maßnahmen.

Die Symantec Threat Hunter haben die detaillierten Methoden der MuddyWater-Kampagne analysiert und ein hohes Maß an operativer Raffinesse dokumentiert. Die Hacker setzten auf bewährte Techniken wie DLL-Sideloading – ein Verfahren, bei dem legitime, signierte Software dazu gebracht wird, böswillige DLL-Dateien zu laden. In diesem Fall exploitierten die Angreifer zwei legale Anwendungen: ‚fmapp.exe’ (ein Audio-Utility von Foremedia) und ‚sentinelmemoryscanner.exe’ (eine Komponente der Sicherheitssoftware SentinelOne). Die eingespielten schädlichen DLLs (fmapp.dll und sentinelagentcore.dll) enthielten ChromElevator, ein verbreitetes Post-Exploitation-Tool zum Diebstahl von Browserdaten aus Chrome-basierten Browsern.

Die Angreifer nutzten zudem PowerShell intensiv, wobei die Befehle über Node.js-Loader gesteuert wurden – eine Technik, die schwerer zu erkennen ist als direkte PowerShell-Aufrufe. Mit PowerShell führten die Hacker Aufklärungsmaßnahmen durch, machten Screenshots, stahlen Anmeldedaten und bauten SOCKS5-Tunnel für ihre Kommunikation auf. Die Persistenz wurde durch Registry-Änderungen gewährleistet, wobei die Malware alle 90 Sekunden Daten an die Angreifer übermittelte.

Besonders bemerkenswert war die Verwendung von sendit.sh, einem öffentlichen Datei-Austausch-Service, um gestohlene Daten abzufließen. Diese Methode verschleiert die bösartige Aktivität, da sie als legitimer Netzwerkverkehr erscheint – ein Zeichen für die zunehmende Operationalisierung staatlicher Cyber-Spionage.

Für deutsche Unternehmen und Behörden bietet dieser Fall wichtige Lektionen: Das BSI empfiehlt eine verstärkte Überwachung von DLL-Sideloading-Versuchen, regelmäßige Audits von Administratoren-Tools wie PowerShell und eine kritische Überprüfung, welche externen Datei-Sharing-Services im Netzwerk zugelassen sind. Unter DSGVO-Gesichtspunkten bedeutet ein erfolgreicher Angriff dieser Art potenzielle Meldepflichten gegenüber der Datenschutzbehörde und betroffenen Personen. Unternehmen sollten ihre Incident-Response-Prozesse überprüfen und sicherstellen, dass sie Anzeichen solcher ausdauernden Angriffe (Advanced Persistent Threats) frühzeitig erkennen können. Die geografische Expansion und operative Reife von MuddyWater deuten darauf hin, dass deutsche Industriebetriebe mit ähnlichen Fähigkeiten rechnen müssen.

Ähnliche Artikel