Cyber-Spionage im Iran-Krieg – Iran War Cyber Espionage

Der Iran reagierte mit Raketen- und Drohnenangriffen auf US-Botschaften und militärische Einrichtungen in der Region. Seitdem haben iranische Hacktivisten-Gruppen und Einzelpersonen die Verantwortung für eine Reihe von Störmanövern übernommen. Doch obwohl Teheran unmittelbar nach den Angriffen eine fast vollständige Abschaltung des Internets angeordnet hatte, blieben iranische Spionageakteure weiterhin aktiv.

Am 8. März beobachtete Proofpoint, wie die iranische Gruppe TA453 – auch bekannt als Charming Kitten, Mint Sandstorm und APT42 – einen Phishing-Versuch gegen einen US-Thinktank unternahm. Der E-Mail-Verlauf hatte tatsächlich schon vor dem Krieg begonnen, was unterstreicht, dass TA453 den Konflikt nicht als Störung, sondern als Gelegenheit zur Vertiefung laufender Geheimdienstoperationen betrachtet. Noch auffälliger ist jedoch das opportunistische Mitmachen von Akteuren, die keinen direkten Anteil am Iran-Konflikt haben.

Trittbrettfahrer

Seit Beginn des Krieges hat Proofpoint fünf weitere Kampagnen von Bedrohungsgruppen mit mutmaßlichen Verbindungen zu China, Pakistan, Weißrussland und der Hamas verfolgt – alle richteten sich gegen Regierungs- und diplomatische Organisationen im Nahen Osten und nutzten den Konflikt als aktuelles Lockmittel, um die Glaubwürdigkeit ihrer Phishing-E-Mails zu erhöhen.

Ein chinesischer Akteur verbreitet Cobalt Strike über gefälschte Fotos vom Tod Khameneis

Ab dem 1. März – einen Tag nach den Luftangriffen – begann ein mutmaßlich mit China verbundener Bedrohungsakteur, den Proofpoint als UNK_InnerAmbush bezeichnet, mit dem Versand von Phishing-E-Mails an Regierungs- und Diplomatieziele im Nahen Osten. Die Nachrichten wurden von einer offenbar kompromittierten kirgisischen E-Mail-Adresse versendet und lockten die Ziele mit angeblich sensiblen Bildern, die den Tod von Ayatollah Khamenei dokumentierten, oder angeblichen Beweisen dafür, dass Israel einen Angriff auf die Öl- und Gasinfrastruktur am Golf vorbereitete. Die Links führten zu einem passwortgeschützten Archiv, das auf Google Drive gehostet wurde. Darin starteten als JPEGs getarnte Microsoft-Shortcut-Dateien unbemerkt einen Loader, der ein legitimes Barrierefreiheits-Tool – die Hilfsbibliothek von NVDA – über DLL-Sideloading ausnutzte, um eine Cobalt Strike-Payload zu installieren, die mit einer Command-and-Control-Domain kommunizierte, die unter dem Namen eines unabhängigen Online-Shops registriert war.

Hamas verbundene TA402 gibt sich als irakisches Ministerium aus

Ebenfalls Anfang März griff TA402 – bekannt unter den Decknamen Frankenstein und Cruel Jackal und als mit der Hamas verbunden eingestuft – mindestens eine Regierungsstelle im Nahen Osten an. Der Akteur versendete Phishing-E-Mails über ein offenbar kompromittiertes Konto des irakischen Außenministeriums, das mit einem vom Angreifer kontrollierten Gmail-Konto gekoppelt war. Die Betreffzeilen bezogen sich auf eine mögliche US-Bodenoperation im Iran und eine Militärkoalition am Golf. Die E-Mails enthielten entweder eine harmlose PDF-Datei als Köder oder eine Seite zum Sammeln von Anmeldedaten, die sich als Microsoft Outlook Web Application ausgab, je nach IP-Adresse des Ziels – ein selektiver Ansatz, der darauf abzielte, nur die beabsichtigten Opfer der bösartigen Infrastruktur auszusetzen.

Mit Pakistan verbundener Akteur greift diplomatische Vertretungen in Indien mit Rust-Backdoor an

Am 5. März versandte ein mutmaßlich mit Pakistan verbundener Akteur namens Proofpoint, der als UNK_RobotDreams bezeichnet wird, Spearphishing-E-Mails an Vertretungen von Regierungsorganisationen aus dem Nahen Osten in Indien. Der Akteur gab sich unter Verwendung einer überzeugenden Freemail-Adresse als indisches Außenministerium aus und versandte eine PDF-Datei mit einem gefälschten Adobe Reader-Button unter dem Betreff „Gulf Security Alert: Iran Retaliation Impacts” (Sicherheitswarnung für den Golf: Auswirkungen der iranischen Vergeltungsmaßnahmen). Durch Anklicken wurden die Ziele auf eine vom Akteur kontrollierte Website umgeleitet, die einen .NET-Loader einsetzte, der mit PowerShell eine auf der Microsoft Azure-Infrastruktur bereitgestellte Backdoor in der Programmiersprache Rust abrief – die dann als VLC Media Player getarnt auf die Festplatte geschrieben wurde. Die Kampagne überschneidet sich mit Aktivitäten, über die Bitdefender bereits berichtet hat, obwohl Proofpoint sie noch keinem bestimmten Akteur zugeordnet hat.

Weißrussland und Iran vervollständigen ein dichtes Bedrohungsbild

Zwischen dem 3. und 5. März verschickte die weißrussische Gruppe TA473 – bekannt als Winter Vivern – E-Mails an Regierungsorganisationen in Europa und dem Nahen Osten, die angeblich von einem Sprecher des Präsidenten des Europäischen Rates stammten. Die HTML-Anhänge zeigten ein Täuschungsbild, während sie heimlich die Infrastruktur des Angreifers anpingten, höchstwahrscheinlich zu Tracking-Zwecken. Ein vierter neuer Cluster, UNK_NightOwl, wurde am 2. März beobachtet, der ein kompromittiertes Konto der syrischen Regierung zusammen mit einer gefälschten Organisation namens War Analyse Ltd nutzte, um ein Ministerium im Nahen Osten anzugreifen. Die Opfer wurden auf eine OWA-Phishing-Seite für Anmeldedaten geleitet, bevor sie zu einer legitimen Konflikt-Nachrichtenseite weitergeleitet wurden – wodurch der Diebstahl unter dem Deckmantel der Plausibilität verschleiert wurde.

Die Kampagne von TA453 rundet das Bild ab: eine methodische, monatelange Operation, in der der Akteur unter dem Vorwand, einen politischen Runden Tisch zum Thema Luftverteidigung im Nahen Osten zu organisieren, eine Beziehung zu einem Forscher eines US-Thinktanks aufbaute – bevor er einen bösartigen Link zum Sammeln von Anmeldedaten einschleuste, der als Konferenzdokument getarnt war. Der Zeitplan der Operation, der sich über den Ausbruch des Krieges erstreckt, deutet darauf hin, dass TA453 weder pausierte noch umschwenkte, sondern einfach weitermachte.

Insgesamt vermitteln die Kampagnen ein einheitliches Bild davon, wie bewaffnete Konflikte die Cyber-Bedrohungslandschaft verändern: nicht durch die Schaffung neuer Akteure oder neuer Techniken, sondern indem sie den bestehenden Akteuren einen mächtigen, glaubwürdigen und dringend relevanten Vorwand liefern. Angesichts des anhaltenden Konflikts zwischen dem Iran und regionalen Akteuren sollten Verteidiger, die Regierungs- und diplomatische Ziele im Nahen Osten schützen, den Krieg selbst als einen anhaltenden Phishing-Köder betrachten – einen, der aktiv aus mehreren Richtungen gleichzeitig ausgenutzt wird.

Iran retaliated with missile and drone strikes against U.S. embassies and military installations in the region. Iranian hacktivist groups and personas have since claimed responsibility for a string of disruptive operations. Yet despite Tehran ordering a near-total internet shutdown in the immediate aftermath of the strikes, Iranian espionage actors have remained active. On March 8, Proofpoint observed the Iran-aligned group TA453 — also known as Charming Kitten, Mint Sandstorm, and APT42 — conduct a credential phishing attempt against a U.S. think tank. The email thread had in fact begun before the war, underscoring that TA453 views the conflict not as a disruption but as an opportunity to deepen ongoing intelligence operations.

Free Riders

More striking, however, is the opportunistic pile-on from actors with no direct stake in the Iran conflict. Since the war began, Proofpoint has tracked five additional campaigns by threat groups with suspected ties to China, Pakistan, Belarus, and Hamas — all targeting Middle Eastern government and diplomatic organizations, and all using the conflict as topical lure content to increase the credibility of their phishing emails.

Chinese Hackers Deliver Cobalt Strike via Fake Khamenei Death Photos

Beginning March 1 — one day after the strikes — a suspected China-aligned threat actor Proofpoint designates UNK_InnerAmbush began distributing phishing emails to Middle Eastern government and diplomatic targets. Sent from what appears to be a compromised Kyrgyz email address, the messages lured targets with claims of sensitive images documenting Ayatollah Khamenei’s death, or alleged evidence that Israel was preparing to attack Gulf oil and gas infrastructure. Links pointed to a Google Drive-hosted password-protected archive. Inside, Microsoft Shortcut files disguised as JPEGs silently launched a loader that exploited a legitimate accessibility tool — NVDA’s helper library — via DLL sideloading to deploy a Cobalt Strike payload, communicating with a command-and-control domain registered under the name of an unrelated online store.

Hamas-Linked TA402 Impersonates Iraqi Ministry to Harvest Credentials

Also in early March, TA402 — tracked under the aliases Frankenstein and Cruel Jackal and assessed as Hamas-aligned — targeted at least one Middle Eastern government entity. The actor sent phishing emails using what appears to be a compromised account belonging to Iraq’s Ministry of Foreign Affairs, pairing it with an attacker-controlled Gmail account. Subject lines referenced a potential U.S. ground operation in Iran and a Gulf military coalition. The emails served either a harmless decoy PDF or a credential harvesting page impersonating Microsoft’s Outlook Web Application, depending on the target’s IP address — a selective approach designed to expose only intended victims to the malicious infrastructure.

Pakistan-Linked Actor Targets India-Based Diplomatic Offices with Rust Backdoor

On March 5, a suspected Pakistan-aligned actor Proofpoint calls UNK_RobotDreams sent spearphishing emails to India-based offices of Middle Eastern government organizations. Posing as India’s Ministry of External Affairs using a convincing freemail address, the actor sent a PDF with a fake Adobe Reader button under the subject line „Gulf Security Alert: Iran Retaliation Impacts.“ Clicking redirected targets to an actor-controlled site that deployed a .NET loader, which used PowerShell to fetch a Rust-language backdoor staged on Microsoft Azure infrastructure — then written to disk masquerading as VLC Media Player. The campaign overlaps with activity previously reported by Bitdefender, though Proofpoint has not yet assigned it to a named actor.

Belarus and Iran Round Out a Crowded Threat Landscape

Between March 3 and 5, the Belarus-aligned group TA473 — known as Winter Vivern — sent emails to government organizations in Europe and the Middle East, purporting to originate from a spokesperson for the European Council President. The HTML attachments displayed a decoy image while quietly pinging attacker infrastructure, most likely for tracking purposes. A fourth new cluster, UNK_NightOwl, was observed on March 2 using a compromised Syrian government account alongside a fake organization called War Analyse Ltd to target a Middle Eastern ministry, directing victims to an OWA credential phishing page before redirecting them to a legitimate conflict news site — concealing the theft with a veneer of plausibility.

TA453’s campaign rounds out the picture: a methodical, months-long operation in which the actor cultivated a relationship with a U.S. think tank researcher under the guise of organizing a policy roundtable on Middle Eastern air defense — before slipping in a malicious credential-harvesting link disguised as a conference document. The operation’s timeline, straddling the outbreak of war, suggests TA453 neither paused nor pivoted; it simply continued.

Taken together, the campaigns paint a coherent picture of how armed conflict reshapes the cyber threat landscape: not by creating new actors or new techniques, but by handing existing ones a powerful, credible, and urgently relevant pretext. As the conflict involving Iran and regional actors continues, defenders protecting government and diplomatic targets in the Middle East should treat the war itself as a persistent phishing lure — one that is being actively exploited from multiple directions at once.