Die Cybersicherheitsexperten der Symantec Threat Hunter Teams und Carbon Black haben die Kampagne detailliert dokumentiert. Im Mittelpunkt steht eine raffinierte Technik namens DLL-Sideloading, bei der legitime, signierte Windows-Binärdateien missbraucht werden, um schädliche Code-Bibliotheken zu laden. Die Angreifer nutzen dabei zwei Hauptvektoren: Die Fortemedia-Datei “fmapp.exe” wird manipuliert, um die bösartige “fmapp.dll” auszuführen. Parallel kommt “sentinelmemoryscanner.exe” von SentinelOne zum Einsatz, um die Malware “sentinelagentcore.dll” zu laden. Diese Vorgehensweise ist bewusst gewählt, denn die Sicherheitssoftware-Binärdatei kann Sicherheitsfilter leichter umgehen.
Besonders kritisch ist der Einsatz von ChromElevator, einem Open-Source-Tool, das in beide bösartigen DLLs eingebettet ist. Mit diesem Werkzeug greifen die Angreifer auf Passwörter, Cookies und Zahlungskartendaten aus Chromium-basierten Browsern zu – und überwinden dabei gezielt Schutzmechanismen wie App-Bound Encryption (ABE).
Die Attacken folgen einem mehrstufigen Schema: Node.js-Skripte werden zur Ausführung von PowerShell-Code genutzt, der Aufklärung, Screenshot-Erfassung, SAM-Hive-Diebstahl, Privilege Escalation und SOCKS5-Reverse-Proxy-Tunneling durchführt. Das erbeutete Datenmaterial wird teilweise auf sendit.sh, einem öffentlichen File-Transfer-Dienst, zwischengelagert.
Im Fall des südkoreanischen Elektronikkonzerns führten die Angreifer wiederholte PowerShell-basierte Aufklärungsmaßnahmen durch und reaktivierten regelmäßig die Malware-Binärdateien, um ihre Zugriffe zu sichern. Der initiale Zugriffsvektor blieb ungeklärt – ein typisches Muster bei hochentwickelten Angriffsgruppen.
Bemerkenswert ist die operative Disziplin der Gruppe: “Die Aktivitätsmuster deuten auf Implant-gesteuerte Operationen hin, nicht auf kontinuierliche Operateurenpräsenz”, analysieren die Sicherheitsforscher. Dies zeigt eine erhebliche Verbesserung der Operativen Hygiene im Vergleich zu früheren MuddyWater-Kampagnen von vor zwei bis drei Jahren.
Im Kontext breiter iranischer Cyberaktivitäten wurden auch Verbindungen zu destruktiven Operationen enthüllt, insbesondere die Exfiltrations- und Zerstörkampagne von März/April 2026, die Ziele in den USA, Israel, Saudi-Arabien und der Türkei betraf. Hinter diesen Angriffen steckt nach Analyse von Gambit Security das iranische Ministerium für Geheimdienste und Sicherheit (MOIS). Dabei wird das bespoke Tool FileFiend eingesetzt, das Laufwerke, SMB-Shares und Dateisysteme enumiert und Daten zu einem C2-Server übermittelt.