Nach Darstellung von Symantec und Carbon Black bahnten die Angriffe auf das Softwareunternehmen, eine US-Bank und eine kanadische gemeinnützige Organisation den Weg für die zuvor unbekannte Hintertür Dindoor. Diese setzt für ihre Ausführung auf die JavaScript-Laufzeitumgebung Deno. Bei dem Softwareunternehmen entdeckte Broadcom zudem einen Versuch, mithilfe des Werkzeugs Rclone Daten in einen Cloud-Speicher-Bucket bei Wasabi abzuziehen. Ob dieser Versuch erfolgreich war, ist den Forschern zufolge bislang nicht bekannt.

In den Netzwerken eines US-Flughafens und einer gemeinnützigen Organisation fanden die Forscher eine separate, in Python geschriebene Hintertür namens Fakeset. Sie wurde von Servern des US-Cloud-Speicher- und Backup-Anbieters Backblaze heruntergeladen. Das digitale Zertifikat zur Signierung von Fakeset wurde auch zur Signierung der Schadprogramme Stagecomp und Darkcomp verwendet, die zuvor bereits mit MuddyWater in Verbindung gebracht wurden.

“Auch wenn diese Malware nicht in den betroffenen Netzwerken selbst beobachtet wurde, legt die Verwendung derselben Zertifikate nahe, dass derselbe Akteur — nämlich Seedworm — hinter den Aktivitäten in den Netzwerken der US-Unternehmen steckt”, erklärten Symantec und Carbon Black. Iranische Bedrohungsakteure seien in den vergangenen Jahren zunehmend versierter geworden; neben verbesserten Werkzeugen und Schadprogrammen zeigten sie ausgeprägte Fähigkeiten im Social Engineering, darunter Spear-Phishing-Kampagnen und sogenannte Honeytrap-Operationen, um Beziehungen zu interessanten Zielpersonen aufzubauen.

Die Funde fallen in eine Phase eskalierender militärischer Konflikte rund um den Iran. Check Point berichtete zuletzt, dass die pro-palästinensische Hacktivisten-Gruppe Handala Hack (auch Void Manticore) ihre Operationen über Starlink-IP-Bereiche leitet, um nach außen erreichbare Anwendungen auf Fehlkonfigurationen und schwache Zugangsdaten zu prüfen.

Mehrere dem Iran zugerechnete Akteure wie Agrius (auch Agonizing Serpens, Marshtreader und Pink Sandstorm) scannen laut Check Point zudem nach verwundbaren Hikvision-Kameras und Video-Gegensprechanlagen über bekannte Schwachstellen wie CVE-2017-7921 und CVE-2023-6895. Die Angriffsversuche gegen IP-Kameras nahmen demnach in Israel und Golfstaaten — darunter die VAE, Katar, Bahrain und Kuwait — sowie im Libanon und in Zypern zu. Im Visier standen Kameras von Dahua und Hikvision, wobei neben den genannten Lücken auch CVE-2021-36260, CVE-2025-34067 und CVE-2021-33044 ausgenutzt wurden. Diese Befunde decken sich laut Check Point mit der Einschätzung, dass der Iran die Kompromittierung von Kameras zur operativen Unterstützung und zur laufenden Schadensbewertung (Battle Damage Assessment) bei Raketenoperationen nutzt, in manchen Fällen womöglich vor einem Raketenstart.

Der Krieg der USA und Israels mit dem Iran veranlasste auch das Canadian Centre for Cyber Security (CCCS) zu einer Warnung: Der Iran werde seinen Cyber-Apparat voraussichtlich für Vergeltungsangriffe gegen kritische Infrastruktur und für Informationsoperationen einsetzen. UltraViolet Cyber zufolge konzentrieren sich iranische Akteure weniger auf Zero-Day-Exploits oder hochgradig neuartige Schadsoftware als auf wiederholbare Zugangstechniken wie Diebstahl von Zugangsdaten, Password Spraying und Social Engineering, gefolgt von Persistenz über weit verbreitete Unternehmensdienste.