Dass Staaten auf kriminelles Personal, Schadsoftware und Infrastruktur zurückgreifen, ist nach Darstellung von Check Point kein iranisches Alleinstellungsmerkmal. Russische Dienste hätten zivile Hacker für große Angriffe eingespannt, chinesische APTs bezögen Malware und Infrastruktur aus dem kriminellen Sektor des Landes, und Nordkorea betreibe die profitabelsten Cybercrime-Einheiten der Welt. Auch abseits des Cyberraums habe der MOIS laut US-Behörden bereits ein bekanntes Drogenhändler-Netzwerk angeheuert, um Dissidenten und Aktivisten im Iran, in den USA sowie in europäischen Ländern wie Schweden ins Visier zu nehmen.

Seit etwa einem Jahr überträgt der Iran nach Einschätzung von Shykevich dieselbe Logik auf den Cyberraum. Void Manticore habe ein Infostealer-as-a-Service-Produkt tief in seine Operationen integriert. Teile der Aktivität von MuddyWater — etwa das Tsundere-Botnetz — hätten so stark nach gewöhnlicher Cyberkriminalität ausgesehen, dass Analysten verwirrt gewesen seien; ein Teil der Schadsoftware sei mit denselben Zertifikaten signiert worden, die auch das Malware-as-a-Service-Werkzeug CastleLoader nutzt.

Besonders aufschlussreich ist laut Check Point ein Angriff auf ein israelisches Krankenhaus im Oktober 2025. Zunächst reklamierte ihn Qilin für sich, und er wurde osteuropäischen Hackern zugeschrieben. Drei Wochen später korrigierte Israels National Cyber Directorate (INCD) diese Einordnung und machte den Iran verantwortlich — ein Hinweis darauf, dass staatlich verbundene Hacker als RaaS-Partner agiert haben könnten.

“Die Erkenntnis aus unserer Sicht ist, wie tief sie kriminelle Dienste in ihre Operationen einbetten”, sagt Shykevich. Es gehe nicht nur darum, Zugänge von Initial Access Brokern zu kaufen — das werde ebenfalls vermutet —, sondern darum, dass iranische APTs selbst Teil von Ransomware-as-a-Service- und Infostealer-as-a-Service-Operationen würden. Dafür gebe es bereits mehrere belegte Fälle und mehr als eine Gruppe.

Die Vorteile dieses Modells liegen für Check Point auf der Hand: Die Vermischung mit kriminellen Akteuren erschwert die Zuordnung, und Kriminelle bieten brauchbare Werkzeuge und robuste Infrastruktur. MuddyWater sei technisch nicht besonders ausgefeilt, so Shykevich; meist verschicke die Gruppe Phishing-Mails und setze anschließend RMM-Werkzeuge ein. Statt ein Jahr in die Entwicklung eigener Malware zu investieren, sei es einfacher, für 500 Dollar einen bestimmten Loader oder passende Zertifikate zu kaufen.

Gerade in Kriegszeiten, wenn Ressourcen knapp sind und der Druck zu zerstörerischen Aktionen steigt, werde Kaufen statt Bauen für iranische APTs zusätzlich attraktiv. Einige iranische Akteure agierten inzwischen “in gewissem Maße verzweifelt”, ihre Operationssicherheit sei teils deutlich geringer, beobachtet Shykevich. Der MOIS könnte deshalb verstärkt kriminelle Initial Access Broker nutzen: Statt eine langfristige Operation gegen ein amerikanisches, israelisches oder Golf-Unternehmen aufzubauen, ließe sich in einem Dark-Web-Forum oder Telegram-Kanal schlicht ein passender Zugang erwerben und der Angriff direkt ausführen.