Den Missbrauch von „fmapp.exe" zum Sideloading von „fmapp.dll" hatte Group-IB bereits im Zusammenhang mit einer anderen MuddyWater-Kampagne namens Operation Olalampo dokumentiert. Nach Angaben von Huntress enthält die DLL Code, der eine Verbindung zu einer von den Angreifern kontrollierten IP-Adresse (157.20.182[.]49) aufbaut.

Den Einsatz von „sentinelmemoryscanner.exe" – einer Binärdatei aus einem Sicherheitsprodukt – bewerten die Forscher als bewusste Wahl, da sich damit signaturbasierte Erkennung umgehen lässt. Die Datei lädt eine manipulierte DLL namens „sentinelagentcore.dll" nach.

Ein weiteres Merkmal der Angriffe ist der Einsatz von Node.js-Skripten, die PowerShell-Code starten, um Aufklärung und Informationssammlung durchzuführen. Laut Symantec und Carbon Black setzte eine auf node.exe basierende Implantatkette PowerShell-Skripte ab, die Aufklärung, das Anfertigen von Screenshots, den Diebstahl der SAM-Datenbank, Rechteausweitung und SOCKS5-Reverse-Proxy-Tunneling ausführten. In mindestens einem Fall lagerten die Angreifer die gestohlenen Daten beim öffentlichen Dateitransferdienst sendit[.]sh.

Über die beiden Sideloading-Paare verschafften sich die Angreifer einen verdeckten Tunnel zum Weiterleiten von Datenverkehr und zum Ausführen von ChromElevator. Daneben versuchten sie, Zugangsdaten abzugreifen, um sich seitlich durch die Netzwerke zu bewegen.

Beim Angriff auf den südkoreanischen Elektronikhersteller führte MuddyWater den Erkenntnissen zufolge wiederholt PowerShell-basierte Aufklärung durch und startete die beiden Binärdateien erneut, um den Zugriff auf das kompromittierte System zu behalten. Wie die Organisation ursprünglich kompromittiert wurde, ist unbekannt.

„Der Rhythmus passt erneut zu implantatgesteuerter Aktivität und nicht zu einer durchgehenden Präsenz der Operatoren", erklärten die Forscher. Die Kampagnenhistorie zeige eine klare Hinwendung zu leiseren, disziplinierteren Operationen. Keine dieser Techniken sei für sich genommen neu, in Kombination belegten sie jedoch einen deutlichen Zuwachs an operativer Sorgfalt gegenüber der Gruppe Seedworm, wie man sie vor zwei oder drei Jahren kannte.

Parallel dazu verhängte der Europäische Rat Sanktionen gegen das iranische Unternehmen Emennet Pasargad, dem der Angriff auf einen schwedischen SMS-Dienst, der Zugriff auf eine französische Abonnentendatenbank samt deren Verkaufsangebot sowie die Verbreitung von Desinformation über kompromittierte Werbetafeln während der Olympischen Spiele 2024 in Paris vorgeworfen werden. Laut US-Außenministerium tritt das Unternehmen unter dem Namen Shahid Shushtari auf und ist dem Cyber-Electronic Command der iranischen Revolutionsgarden (IRGC-CEC) zugeordnet. Es wird unter den Bezeichnungen Cobalt Obelisk, Cotton Sandstorm, Haywire Kitten (zuvor ChaoticOrchestra), Marnanbridge und UNC5866 geführt.

Iranisch gestützte Hacker werden zudem mit einer Datenabflusskampagne in Verbindung gebracht, die zwischen Ende März und Anfang April 2026 Organisationen in den USA, Israel, Saudi-Arabien und der Türkei traf; mindestens zwei US-Opfer waren auch von zerstörerischen Operationen wie dem Löschen von Partitionen und Datensicherungen betroffen. Obwohl sich eine pro-iranische Akteursfigur namens Ababil of Minab dazu bekannte, führt eine neue Analyse von Gambit Security die Infrastruktur der Kampagne auf das iranische Ministerium für Nachrichtenwesen und Sicherheit (MOIS) zurück.

Zu den weiteren Zielen zählen eine israelische Medienorganisation, eine israelische Hochschule, ein türkischer Versicherungsmakler sowie mehrere Websites aus den Bereichen Gastronomie, Kultur, digitale Dienste und Nachrichten. Gegen diese Opfer wurde keine zerstörerische Aktivität beobachtet; hier setzten die Angreifer laut den Gambit-Security-Forschern Eyal Sela und Nir Varon ein eigens entwickeltes C++-Werkzeug zur Dateisammlung und -exfiltration mit dem internen Codenamen FileFiend ein. Das Programm könne lokale Laufwerke und SMB-Freigaben durchsuchen, das Dateisystem durchlaufen und Dateien an einen fest einprogrammierten C2-Server senden. Alternativ würden relevante Daten in RAR-Archive gepackt, im Web-Stammverzeichnis der öffentlichen Website abgelegt, mit dem Download-Beschleuniger Axel extrahiert und über proxychains getunnelt.