Bedrohungsbeschreibung: Eskalation des Cyberrisikos im Zusammenhang mit dem Iran (Aktualisiert 30. Juni)

Kurzfassung

Der jüngste Konflikt mit dem Iran, insbesondere seine militärischen Auseinandersetzungen mit Israel und den USA, erhöht das Risiko eines Cyber-Spillovers erheblich. Hierdurch werden die traditionellen Gefechtszonen auf den digitalen Bereich ausgedehnt.

Zwar haben wir bisher noch keinen dramatischen Anstieg der vom Iran gesteuerten Cyberangriffe festgestellt, doch könnte sich eine weitere Eskalation in einem Anstieg der Cyberoperationen sowohl von staatlich geförderten Gruppen als auch von unabhängigen Hacktivisten äußern. Ihr Ziel wäre es, den vermeintlichen Gegner zu stören, Informationen über ihn zu sammeln oder ihn zu beeinflussen. Iranische Bedrohungsgruppen haben es in der Vergangenheit auf kritische Infrastrukturen und sensible Branchen in öffentlichen und privaten Unternehmen weltweit abgesehen. iese Angriffe können weitreichende Folgen haben.

In den vergangenen zwei Jahren hat Unit 42 beobachtet, dass vom Iran unterstützte Gruppen und Hacktivisten ihre globalen Cyberoperationen ausweiten und unter anderem wie folgt vorgehen:

• Opportunistische Nutzung generativer KI (GenAI) für Social-Engineering und Effizienzsteigerung
• Explizite Verknüpfung zerstörerischer Angriffe mit geopolitischen Ereignissen

Diese Aktivitäten kommen zu den Tätigkeiten hinzu, für die diese Gruppen seit jeher bekannt waren. Es ist möglich, dass sich diese Aktivitäten im Zusammenhang mit den jüngsten Ereignissen in Israel und den USA noch verstärken werden. Diese Aktivitäten umfassen:

• Zerstörerische Angriffe
• Verunstaltungen von Websites
• Distributed Denial-of-Service (DDoS) Angriffe
• Datenexfiltration und Wiper-Angriffe, die an frühere Angriffe iranischer Gruppen auf den israelischen Bildungs- und Technologiesektor erinnern

Wir verfolgen Bedrohungsaktivitäten auf der ganzen Welt, wobei der Iran neben China, Russland und Nordkorea einer der vier wichtigsten staatlichen Akteure ist, die wir beobachten. Die primären Ziele iranischer staatlicher Akteure umfassen häufig Spionage und Störung. Diese Gruppen setzen eine Vielzahl von Taktiken, Techniken und Verfahren ein, darunter gezielte Spear-Phishing-Kampagnen und die Ausnutzung bekannter Schwachstellen. Zu den spezifischen Beobachtungen gehören:

• Verdeckte Infrastruktur für Spionage: Bei einem vor Kurzem von Unit 42 aufgedeckten Fall wurde eine mutmaßliche verdeckte iranische Infrastruktur entlarvt, die sich als deutsche Modelagentur ausgab, um Cyberspionage zu betreiben. Bei diesen Operationen werden gefälschte Websites eingesetzt, um umfangreiche Besucherdaten zu sammeln, was auf strategische Ziele der Informationsbeschaffung hindeutet.
• KI-basierte Social-Engineering-Angriffe: Wir haben kürzlich beobachtet, wie eine iranische Bedrohungsgruppe (Agent Serpens, alias CharmingKitten) generative KI (GenAI) in einer schädlichen PDF-Datei nutzte, die sie als Dokument der gemeinnützigen US-Forschungsorganisation RAND maskierte. Die Gruppe setzte diese PDF-Datei zusammen mit gezielter Malware ein.
• Anhaltende zerstörerische Operationen: Die vom Iran unterstützte APT-Gruppe „Agonizing Serpens“ hatte von Januar bis Oktober 2023 den israelischen Bildungs- und Technologiesektor ins Visier genommen, um sensible Informationen wie personenbezogene Daten und geistiges Eigentum zu stehlen. Bei diesen Angriffen wurden auch Wiper eingesetzt, um Systeme zu zerstören und die forensische Analyse zu behindern.

Vor dem Hintergrund der aktuellen geopolitischen Lage im Iran haben wir vier Schlüsselbereiche für potenzielle Cyberbedrohungen ermittelt:

• Iranische staatliche Bedrohungsakteure: In naher Zukunft werden iranische Hacker wahrscheinlich gezielte Angriffe durchführen, von Spear-Phishing-E-Mails, die auf Diplomaten abzielen, bis hin zu zerstörerischer Wiper-Malware, die auf Organisationen abzielt, die mit US-Interessen in Verbindung stehen.
• Hacktivisten: Es ist wahrscheinlich, dass Hacktivisten, die den Iran unterstützen, weiterhin Störangriffe und Beeinflussungsaktionen durchführen werden, die sich gegen die Interessen der USA im In- und Ausland richten. Dazu gehören DDoS-Angriffe, um den Internetzugang zu stören und den Betrieb von Social-Media-Plattformen zu beeinflussen.
• Cyberkriminelle Gruppen: Diese Gruppen könnten die globale Unsicherheit opportunistisch ausnutzen, um Phishing-Kampagnen zu starten, indem sie weltweite Ereignisse als Thema für bösartige E-Mails und Anhänge nutzen.
• Andere staatliche Akteure: Es besteht die Möglichkeit, dass andere staatliche Bedrohungsakteure die Ereignisse zur Förderung ihrer Interessen nutzen. Zu diesen Angriffen könnten auch Operationen unter falscher Flagge gehören, bei denen Akteure aus anderen Ländern als dem Iran ihre Angriffe so tarnen, dass es so aussieht, als kämen sie aus dem Iran. Dies wurde klar, als Russland 2019 die Cyberinfrastruktur des Iran kapern konnte, um sich in Netzwerke einzuschleusen, die bereits von iranischen Akteuren kompromittiert worden waren.

Kunden von Palo Alto Networks können sich mit den folgenden Produkten vor den Aktivitäten dieser Bedrohungsakteure schützen und sie eindämmen:

• Next-Generation Firewalls mit Advanced Threat Prevention
• Cortex XDR, XSIAM und Cortex Cloud

Das Incident-Response-Team von Unit 42 kann auch zur Unterstützung bei einer Kompromittierung oder für eine proaktive Bewertung zur Verringerung Ihres Risikos hinzugezogen werden.

Derzeitiger Umfang von Cyberangriffen

Unit 42 verfolgt verschiedene staatlich geförderte Akteure aus dem Iran, die unter dem Namen Serpens agieren. Diese Gruppen könnten ihre Aktivitäten in den kommenden Wochen verstärken oder eskalieren.

Staatlich geförderte iranische Cyberfähigkeiten werden häufig eingesetzt, um politische Botschaften zu projizieren und zu verstärken (oft unter Verwendung zerstörerischer und psychologischer Taktiken). Diese Bemühungen werden sich wahrscheinlich auf regionale Ziele (z. B. Israel) sowie auf Ziele von hohem Wert (z. B. Politiker, wichtige Entscheidungsträger und andere direkt beteiligte Stellen) konzentrieren.

Staatlich geförderte Kampagnen können sich gegen die Lieferketten, die kritische Infrastruktur, Lieferanten oder Anbieter ihrer Opfer richten.

Bei den meisten der bereits gemeldeten Cyberangriffe im Zusammenhang mit diesem Ereignis handelt es sich um absichtlich störende Denial-of-Service (DoS) Angriffe. Angreifer von dritter Seite, wie z. B. Hacktivisten und Proxy-Akteure, unterstützen in der Regel die eine oder andere Seite mit dem Ziel, die gegnerische Seite negativ zu beeinflussen und zu manipulieren.

Zum 22. Juni 2025 sind Berichten zufolge 120 Hacktivisten-Gruppen als Reaktion auf diese Ereignisse aktiv. Aus anderen öffentlichen Berichten geht hervor, dass sowohl cyberkriminelle Gruppen als auch staatlich unterstützte Proxy-Gruppen aktiv sind.

DDoS scheint die am häufigsten gemeldete Angriffsmethode zu sein, gefolgt von zerstörerischen Angriffen. Forscher haben im Zusammenhang mit diesen Ereignissen Beispiele für zerstörerische Malware wie Datenlöschprogramme beobachtet. Zu den zerstörerischen Angriffen gehört auch die Vernichtung von Vermögenswerten in Höhe von 90 Millionen Dollar bei einem Hackerangriff auf eine Kryptowährungsbörse im Juni 2025.

Andere Datensicherheitsverstöße und damit verbundene Datenlecks zielen darauf ab, beide Seiten zu schädigen. Berichten zufolge ist auch Betriebstechnologie (OT) Ziel dieser Angriffe. Diese beiden stehen manchmal miteinander in Verbindung, da Datenverstöße bei Energie- und anderen Versorgungsunternehmen ebenfalls in direktem Zusammenhang mit diesen Ereignissen gemeldet wurden.

Von Unit 42 verfolgte iranische Bedrohungsgruppen

• Agent Serpens (alias APT42)
  • Eine auf Israel und die USA ausgerichtete Spionage- und Überwachungsgruppe, die es auf Dissidenten, Aktivisten, Journalisten und andere Gruppen abgesehen hat, die als Gefahr angesehen werden oder die gegen die iranische Regierung protestieren
  • Initialer Eintrittspunkt: Vor allem Spear-Phishing, einschließlich Diebstahl von Anmeldedaten mithilfe gefälschter Anmeldeseiten, sowie Watering-Hole-Angriffe
• Agonizing Serpens (alias Pink Sandstorm)
  • Diese Gruppe führt Spionage-, Ransomware- und zerstörerische Malware-Angriffe gegen Ziele im Nahen Osten durch, wobei vor allem Israel das Ziel dieser Angriffe ist.
  • Initialer Eintrittspunkt: Passwortangriffe (z. B. Brute-Force, Passwort-Sprays) sowie die Ausnutzung bekannter Schwachstellen (gefolgt vom Einsatz von Web-Shells)
• Boggy Serpens (alias MuddyWater)
  • Eine Cyberspionage-Gruppe, die der iranischen Regierung und anderen Bedrohungsakteuren gestohlene Daten bereitstellt und Zugang verschafft
  • Initialer Eintrittspunkt: Spear-Phishing und Ausnutzung bekannter Schwachstellen
• Curious Serpens (alias Peach Sandstorm)
  • Spionagegruppe, die seit 2013 aktiv ist und es auf die Luft- und Raumfahrt-, Verteidigungs- und Energiebranche in den USA, im Nahen Osten und in Europa abgesehen hat. Die Gruppe hat die Cloud-Infrastruktur, einschließlich Azure, für C2 genutzt.
  • Initialer Eintrittspunkt: Breit angelegte Passwort-Spray-Angriffe oder Social-Engineering-Kampagnen zur Anwerbung von Mitarbeitern, um benutzerdefinierte Malware, einschließlich der Backdoors Falsefont oder Tickler, zu installieren. Sobald die Gruppe eingedrungen ist, ist sie dafür bekannt, dass sie mit Tools wie AzureHound und Roadtools Erkundungsaktivitäten durchführt, um Daten von Microsoft Entra ID zu sammeln und abzuladen.
• Devious Serpens (alias Imperial Kitten)
  • Eine Spionagegruppe, die dafür bekannt ist, im Rahmen von Lieferkettenkampagnen IT-Anbieter im Nahen Osten ins Visier zu nehmen
  • Initialer Eintrittspunkt: Social-Engineering über soziale Medien, Spear-Phishing zum Abgreifen von Zugangsdaten, Watering-Hole-Angriffe sowie der Einsatz von Web-Shells
• Evasive Serpens (alias APT34)
  • Eine produktive Spionagegruppe, die dafür bekannt ist, dass sie im Einklang mit nationalstaatlichen Interessen ein breites Spektrum an Zielen verfolgt
  • Initialer Eintrittspunkt: Stützt sich vor allem auf Spear-Phishing, wird aber auch mit anderen, komplexeren Angriffen in Verbindung gebracht, wie z. B. Kampagnen zum Diebstahl von Zugangsdaten und DNS-Hijacking
• Industrial Serpens (alias Chrono Kitten)
  • Eine mit dem Iran verbundene Gruppe, die Störangriffe (z. B. Ransomware, Wiper-Malware, Hack-and-Leak-Angriffe) durchführt, die den Interessen des Staates dienen
  • Initialer Eintrittspunkt: Social-Engineering zur Verbreitung von Android-Spyware, die auf gefälschten Websites gehostet wird, Passwortangriffe (z. B. Brute-Force, Passwort-Sprays) und Ausnutzung bekannter Sicherheitslücken

Fazit

Angesichts der vielfältigen Taktiken, die Bedrohungsakteure anwenden, ist eine mehrschichtige Verteidigungsstrategie am effektivsten, da ein einzelnes Tool keinen vollständigen Schutz gegen diese anpassungsfähigen Bedrohungen bieten kann. Wir empfehlen, vor allem auf grundlegende Sicherheitsmaßnahmen zu setzen – ein bewährter Ansatz, der einen robusten Schutz gegen die unterschiedlichsten Taktiken bietet.

Wir empfehlen, die folgenden Vorsichtsmaßnahmen zu treffen, um die Auswirkungen möglicher Angriffe abzuschwächen.

Taktische Empfehlungen

• Verstärkte Reaktion auf alle Bedrohungssignale, wo immer dies möglich ist, insbesondere im Zusammenhang mit über das Internet zugänglichen Assets wie Websites, Virtual Private Network (VPN) Gateways und Cloud-Ressourcen
• Sicherstellen, dass die Internet-Infrastruktur mit Sicherheits-Patches und anderen bewährten Verfahren auf dem neuesten Stand ist
• Schulung der Mitarbeiter in Phishing- und Social-Engineering-Taktiken und kontinuierliche Überwachung verdächtiger Aktivitäten
• Am 30. Juni veröffentlichten die CISA, das FBI, das DoD Cyber Crime Center und die NSA ein gemeinsames Merkblatt mit dem Titel „Iranian Cyber Actors May Target Vulnerable US Networks and Entities of Interest“ (Iranische Cyber-Akteure können anfällige US-Netzwerke und -Einrichtungen ins Visier nehmen), in dem Organisationen dringend aufgefordert werden, gegenüber potenziellen gezielten Cyber-Operationen durch vom iranischen Staat gesponserte oder mit ihm verbundene Bedrohungsakteure wachsam zu sein.

Strategische Empfehlungen

• Erstellung oder Aktualisierung von Plänen zur Aufrechterhaltung des Geschäftsbetriebs für alle Mitarbeiter oder Vermögenswerte, die durch digitale oder physische Angriffe beeinträchtigt werden könnten
• Vorbereitung einer Überprüfung von und Reaktion auf Behauptungen über Verstöße oder Datenlecks
  • Bedrohungsakteure könnten Behauptungen (auch wenn sie unwahr sind) verwenden, um Opfer unter Druck zu setzen, zu belästigen oder um politische Narrative zu verbreiten

Da die Aktivitäten während der Dauer dieser Ereignisse wahrscheinlich weiter zunehmen werden, ist es wichtig, wachsam gegenüber möglichen Angriffen zu sein. Hacktivisten und staatlich unterstützte Bedrohungsakteure sind opportunistisch, was dazu führt, dass potenziell unerwartete Opfer ins Visier genommen werden.

Wir werden diese Kurzdarstellung der Bedrohung aktualisieren, sobald weitere relevante Informationen verfügbar sind.

Wie Palo Alto Networks und Unit 42 Sie unterstützen können

Kunden von Palo Alto Networks können eine Vielzahl von Produktschutzmaßnahmen und Updates nutzen, um Bedrohungen im Zusammenhang mit diesen Ereignissen zu erkennen und abzuwehren.

Wenn Sie den Verdacht haben, Opfer eines Angriffs geworden zu sein, oder eine dringende Frage haben, kontaktieren Sie das Incident-Response-Team von Unit 42:

• Nordamerika: Gebührenfrei: +1 (866) 486-4842 (866.4.UNIT42)
• Vereinigtes Königreich: +44 20 3743 3660
• Europa und Naher Osten: +31.20.299.3130
• Asien: +65.6983.8730
• Japan: +81 50 1790 0200
• Australien: +61.2.4062.7950
• Indien: 00080005045107

Next-Generation Firewalls und Prisma Access mit Advanced Threat Prevention

Advanced Threat Prevention bietet eine integrierte, auf maschinellem Lernen basierende Erkennung, die Exploits in Echtzeit erkennen kann.

Cortex

Cortex XDR, XSIAM und Cortex Cloud sind so konzipiert, dass sie die Ausführung bekannter schädlicher Malware verhindern. Außerdem sollen sie die Ausführung unbekannter Malware und anderer schädlicher Aktivitäten verhindern, indem Behavioral Threat Protection und maschinelles Lernen auf der Grundlage des Moduls zur lokalen Analyse (Local Analysis) eingesetzt werden.