Ende Mai haben niederländische Ermittler einen Hosting-Anbieter ausgehoben, dessen Server offenbar als digitale Drehscheibe für mehrere iranische Spionagekampagnen dienten. Der Fall zeigt, warum bei der Cyberabwehr nicht nur einzelne IP-Adressen zählen, sondern ganze Infrastruktur-Netzwerke.
Die Beschlagnahmung von rund 800 Servern beim niederländischen Hosting-Anbieter WorkTitans war mehr als eine klassische Polizeimaßnahme der Financial Crime investigation of Netherlands (FIOD). Sie traf eine Infrastruktur, die nach Erkenntnissen aus den Notizen und aktuellen Berichten nicht nur für sich stand, sondern mehrere aktive iranische Cyberoperationen gleichzeitig mitgetragen haben soll.
Was auf den ersten Blick nach einem normalen Anbieter für Internetdienste aussah, entpuppte sich als Teil eines deutlich größeren Geflechts. Laut den Unterlagen war WorkTitans der Nachfolger von Stark Industries, einem Anbieter, gegen den die EU bereits 2025 Sanktionen verhängt hatte. Statt den Betrieb einzustellen, wurde die Struktur offenbar unter neuem Namen weitergeführt – mit denselben technischen Ressourcen, aber einem anderen Etikett.
Besonders brisant ist, dass gleich drei iranische Bedrohungsgruppen dieselbe Hosting-Umgebung genutzt haben sollen. MuddyWater setzte die Infrastruktur für Command-and-Control-Zwecke ein und verband damit Phishing-Kampagnen und maßgeschneiderte Malware wie BugSleep. Agrius, auch UNC2428 genannt, nutzte WorkTitans für eine Social-Engineering-Aktion rund um vermeintliche Jobangebote, bei der Opfer über eine gefälschte Bewerbungsstrecke eine Backdoor installierten. Nimbus Manticore wiederum bediente sich derselben Infrastruktur für Recruiting-Köder gegen Zielpersonen aus Luft- und Raumfahrt sowie Verteidigung.
Der Fall zeigt, wie sich Cyberoperationen heute organisieren: nicht mehr als isolierte Einzelangriffe, sondern als flexible Zusammenarbeit zwischen Tätergruppen und Infrastrukturbetreibern. Genau diese Trennung macht die Szene so schwer greifbar. Eine einzelne IP-Adresse kann unauffällig wirken, während das dahinterliegende Netz bereits mit Phishing-Kits, Malware-Verteilung und Scan-Aktivitäten in Verbindung gebracht wurde.
Für Ermittler und Verteidiger liegt darin die eigentliche Lehre. Wer nur einzelne IPs blockiert, sieht oft nur die Oberfläche. Aussagekräftiger sind Muster: dieselben Netze, wiederkehrende Missbrauchsindikatoren, verdächtige Domain-Wechsel und ein Hosting-Umfeld, das mehrfach als riskant auffällt. ASN-Reputation, passive DNS-Verläufe und Verhaltenssignale aus den eigenen Protokollen liefern hier oft die früheren Warnzeichen.
Dass eine einzige Razzia mehrere Kampagnen gleichzeitig stören kann, macht den Fall WorkTitans so bemerkenswert. Die Maßnahme zeigt, wie stark staatliche oder staatsnahe Cyberakteure von einer belastbaren Hosting-Infrastruktur abhängen – und wie schnell deren Ausfall operative Pläne durcheinanderbringen kann. Das gilt umso mehr, wenn dieselbe Plattform von verschiedenen Gruppen für sehr unterschiedliche Ziele genutzt wird.
Auch über die Spionage hinaus war die Infrastruktur offenbar aktiv. Den Notizen zufolge wurde WorkTitans zudem zum Scannen von IP-Kameras im Nahen Osten eingesetzt, also für vorbereitende Aufklärung abseits der bekannten Hauptkampagnen. Solche Nebenspuren machen deutlich, dass Hosting-Anbieter in dieser Größenordnung nicht nur Verkehrswege bereitstellen, sondern komplette Angriffsketten tragen können.
Der Fall ist deshalb auch ein Hinweis für die Praxis der Cyberabwehr. Wer Bedrohungen nur auf Basis einzelner IPs bewertet, übersieht häufig den Kontext. Wer hingegen die gesamte Hosting-Umgebung betrachtet, erkennt schneller, ob sich hinter einer scheinbar sauberen Adresse ein belastetes Netzwerk verbirgt.
Sergey Shykevich, Group Manager Threat Intelligence bei Check Point Research, drückt es so aus: „Die Beschlagnahmung von WorkTitans zeigt, wie permissive Hosting-Umgebungen still und leise zu einer gemeinsamen Infrastruktur für mehrere staatlich geförderte Akteure werden, die völlig unabhängig voneinander agieren. Die Lehre für Verteidiger betrifft nicht nur diese spezifischen Gruppen – sie lautet vielmehr, dass der Ruf eines einzelnen Hosting-Anbieters ein zuverlässigeres Bedrohungssignal sein kann als jede einzelne IP-Adresse. Wenn man IPs nur isoliert bewertet, verpasst man den Gesamtzusammenhang.“
Fazit
Die Beschlagnahmung von WorkTitans war ein Erfolg für die Strafverfolgungsbehörden. Sie hat aber auch deutlich gemacht, dass die hartnäckigsten Cyberbedrohungen selten von einem einzigen Schwachpunkt abhängen. Sie nutzen die Lücken zwischen dem, was Verteidiger einzeln überprüfen, und dem, was sie gemeinsam übersehen. Die Schließung dieser Lücken ist der Punkt, an dem die eigentliche Arbeit beginnt.
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de