HackerangriffeSchwachstellenCyberkriminalität

Irans Geheimdienst arbeitet mit Cyberkriminellen zusammen – eine neue Bedrohung

Irans Geheimdienst arbeitet mit Cyberkriminellen zusammen – eine neue Bedrohung
Zusammenfassung

Irans Geheimdienst MOIS intensiviert seine Cyberangriffe durch eine bemerkenswerte Strategie: die enge Zusammenarbeit mit der organisierten Cyberkriminalität. Wie aktuelle Sicherheitsforschungen zeigen, nutzt der iranische Staat nicht nur Hacktivist-Gruppen als Fassade für staatliche Operationen, sondern arbeitet zunehmend direkt mit echten Cyberkriminellen zusammen. Besonders problematisch ist dabei die Integration von kommerziellen Malware-as-a-Service-Angeboten und Ransomware-Operationen in die Infrastruktur iranischer APT-Gruppen wie Void Manticore oder MuddyWater. Diese Vermischung von staatlichen und kriminellen Akteuren erschwert die Zuordnung von Angriffen erheblich und könnte dazu führen, dass Sicherheitsteams ernsthafte Bedrohungen fälschlicherweise als einfache Cyberkriminalität einstufen. Für deutsche Unternehmen, Behörden und kritische Infrastrukturen bedeutet diese Entwicklung ein erhöhtes Risiko: Sie könnten unbemerkt ins Visier iranischer Geheimdienste geraten, wobei die Attacken oberflächlich wie profitorientierte Cyberkriminalität wirken. Die Strategie zeigt sich besonders während geopolitischer Spannungen, wenn der Druck auf schnelle und zerstörerische Operationen wächst.

Die iranische Strategie folgt einem bewährten Muster: Während Russland und China bereits mit Cyberkriminellen kooperieren und Nordkorea eigene kriminelle Netzwerke betreibt, perfektioniert der MOIS nun auch diese Methode. Laut Sergey Shykevich, Threat-Intelligence-Manager bei Check Point, liegt die Gefahr darin, dass Sicherheitsteams (SOCs und CISOs) Angriffe iranischer Akteure möglicherweise als niedrigrisiko-Cyberkriminalität einstufen – dabei könnten destruktive staatliche Operationen im Gange sein.

Die Kooperation zwischen iranischen Geheimdiensten und Cyberkriminellen ist nicht neu – bekannt ist etwa die Zusammenarbeit des MOIS mit Drogenschmuggel-Netzwerken zur Verfolgung von Dissidenten. Neu ist jedoch die systematische Integration krimineller Dienste in Cyber-Operationen. Das APT-Netzwerk Void Manticore nutzt die kommerzielle Infostealer-Software Rhadamanthys als Kernkomponente seiner Angriffskette. Andere MOIS-Einheiten arbeiten mit Ransomware-as-a-Service (RaaS)-Operationen zusammen.

Ein bezeichnendes Beispiel ist der Angriff auf ein israelisches Krankenhaus im Oktober 2025: Zunächst wurde die Tat der Cybercriminal-Gruppe Qilin zugeordnet, die als osteuropäische Hacker galt. Drei Wochen später korrigierte Israels National Cyber Directorate: Die Verantwortung lag bei Iran – möglicherweise als RaaS-Affiliates agierende staatliche Hacker.

Die strategischen Vorteile dieser Verschmelzung sind evident. Erstens wird die Attribution für Ermittler deutlich schwieriger. Zweitens profitieren iranische APTs von professioneller Cybercriminal-Infrastruktur – besseres Tooling, robuste Server, bewährte Techniken. MuddyWater etwa ist technisch nicht hochsophistiziert; einfache Phishing-Mails und Remote-Monitoring-Tools sind Standard. Warum soll eine Entwicklung von Malware ein Jahr dauern, wenn man Loader oder Zertifikate für 500 Dollar kaufen kann?

Zumal im Kriegsfall: Mit angespannten Ressourcen und steigendem Druck, mehr Zerstörung anzurichten, wird der Zukauf günstiger. Shykevich beobachtet „verzweifelte” iranische Akteure mit geschwächtem Operationssicherheitsstandard – sie werden vermehrt auf Underground-Services zurückgreifen.

Deutsche Unternehmen sollten ihre Threat-Intelligence aktualisieren. Ein verdächtiger Zugriff könnte nicht bloß kriminell sein – es könnte eine iranische Staatsaktion dahinterstecken.

Ähnliche Artikel