MuddyWater attackiert südkoreanischen Elektronikhersteller in Spionagekampagne

Zusammenfassung

Die mit dem Iran in Verbindung gebrachte Hackergruppe MuddyWater – auch bekannt als Seedworm oder Static Kitten – hat eine breit angelegte Spionagekampagne gegen mindestens neun namhafte Organisationen geführt. Das berichten Forscher des Sicherheitsunternehmens Symantec. Betroffen sind Ziele in mehreren Branchen und Ländern: ein großer südkoreanischer Elektronikhersteller, Regierungsbehörden, ein internationaler Flughafen im Nahen Osten, Industrieunternehmen in Asien sowie Bildungseinrichtungen. Laut Symantec hielt sich der Angreifer im Februar 2026 eine Woche lang im Netzwerk des südkoreanischen Elektronikherstellers auf. Das Threat-Hunter-Team des Unternehmens geht davon aus, dass die Operation nachrichtendienstlich getrieben war und auf den Diebstahl von industriellem und geistigem Eigentum, Regierungsspionage sowie auf den Zugang zu nachgelagerten Kunden- und Firmennetzwerken abzielte. Symantec wertet die jüngste Kampagne als bemerkenswert: Die Gruppe weite ihren geografischen Aktionsradius aus, agiere operativ reifer und missbrauche zunehmend legitime Werkzeuge und Dienste. Das markiere eine Verschiebung hin zu unauffälligeren Angriffen. Den Namen der angegriffenen südkoreanischen Organisation nannten die Forscher nicht.

Im Zentrum der Technik stand laut Symantec das sogenannte DLL-Sideloading. Dabei lädt legitime, signierte Software eine bösartige DLL nach. Zwei der dabei eingesetzten Programme waren ‚fmapp.exe‘, ein echtes Audio-Werkzeug von Foremedia, sowie ‚sentinelmemoryscanner.exe‘, eine legitime Komponente von SentinelOne.

Die untergeschobenen DLLs – fmapp.dll und sentinelagentcore.dll – enthielten ChromElevator, ein handelsübliches Werkzeug für die Phase nach der Erstinfektion, das in Chrome-basierten Browsern gespeicherte Daten ausliest. Daneben kam weiterhin PowerShell stark zum Einsatz, das bereits bei früheren Seedworm-Angriffen genutzt wurde. Anders als zuvor wurden die Schadkomponenten jedoch über Node.js-Loader gesteuert statt direkt aufgerufen.

PowerShell diente zum Anfertigen von Bildschirmfotos, zur Aufklärung, zum Nachladen weiterer Schadsoftware, zum Einnisten im System, zum Diebstahl von Zugangsdaten sowie zum Aufbau von SOCKS5-Tunneln.

Der Angriff auf den südkoreanischen Elektronikhersteller dauerte nach Beobachtung von Symantec vom 20. bis zum 27. Februar. In der ersten Phase führte Seedworm eine Aufklärung von Host und Domäne durch, gefolgt von einer Erfassung der Antivirensoftware über WMI, dem Anfertigen von Screenshots und dem Nachladen weiterer Schadsoftware.

Zugangsdaten wurden über gefälschte Windows-Eingabeaufforderungen, den Diebstahl von Registry-Hives (SAM, SECURITY, SYSTEM) und Werkzeuge zum Missbrauch von Kerberos-Tickets erbeutet. Die dauerhafte Verankerung erfolgte über Änderungen an der Registry; die Schadsoftware meldete sich in Abständen von 90 Sekunden zurück, und die per Sideloading gestarteten Programme wurden wiederholt neu aufgerufen, um den Zugang zu erhalten.

„Die Taktung passt erneut eher zu einer durch Implantate gesteuerten Aktivität als zu einer durchgehenden Präsenz eines Operators“, erklärten die Forscher. Für das Abfließen der Daten nutzten die Angreifer sendit.sh, einen öffentlichen Filesharing-Dienst – vermutlich, um die Aktivität zu verschleiern und sie als normalen Datenverkehr erscheinen zu lassen.

MuddyWater attackiert südkoreanischen Elektronikhersteller in Spionagekampagne

Ähnliche Artikel

Neueste Artikel