Nieuw onderzoek van het Symantec- en Carbon Black Threat Hunter-team van Broadcom heeft bewijs ontdekt dat een Iraanse hackgroep zich heeft ingebed in de netwerken van verschillende Amerikaanse bedrijven, waaronder banken, luchthavens, non-profitorganisaties en de Israëlische tak van een softwarebedrijf.
De activiteit wordt toegeschreven aan een door de staat gesponsorde hackgroep genaamd Modderig Water (ook bekend als zaadworm). Het is aangesloten bij het Iraanse Ministerie van Inlichtingen en Veiligheid (MOIS). Er wordt geschat dat de campagne begin februari is begonnen, waarbij recente activiteiten zijn ontdekt na Amerikaanse en Israëlische militaire aanvallen op Iran.
“Het softwarebedrijf is een leverancier aan onder meer de defensie- en ruimtevaartindustrie en is aanwezig in Israël, waarbij de Israëlische operatie van het bedrijf het doelwit lijkt te zijn van deze activiteit”, zei de beveiligingsleverancier in een rapport gedeeld met The Hacker News.
De aanvallen gericht op het softwarebedrijf, maar ook op een Amerikaanse bank en een Canadese non-profitorganisatie, blijken de weg vrij te maken voor een voorheen onbekende achterdeur genaamd Dindoor, die gebruik maakt van de Deno JavaScript-runtime voor uitvoering. Broadcom zei dat het ook een poging had geïdentificeerd om gegevens van het softwarebedrijf te exfiltreren met behulp van het Rclone-hulpprogramma naar een Wasabi-cloudopslagbucket. Het is echter momenteel niet bekend of de inspanning zijn vruchten heeft afgeworpen.
Ook gevonden in de netwerken van een Amerikaanse luchthaven en een non-profitorganisatie was een aparte Python-achterdeur genaamd Fakeset, die werd gedownload van servers van Backblaze, een Amerikaans bedrijf voor cloudopslag en gegevensback-up. Het digitale certificaat dat wordt gebruikt om Fakeset te ondertekenen, is ook gebruikt om Stagecomp- en Darkcomp-malware te ondertekenen, beide eerder gekoppeld aan MuddyWater.
“Hoewel deze malware niet werd gezien op de beoogde netwerken, suggereert het gebruik van dezelfde certificaten dat dezelfde actor – namelijk Seedworm – achter de activiteit op de netwerken van de Amerikaanse bedrijven zat”, aldus Symantec en Carbon Black.
“Iraanse dreigingsactoren zijn de afgelopen jaren steeds bekwamer geworden. Niet alleen zijn hun tools en malware verbeterd, maar ze hebben ook sterke social engineering-capaciteiten gedemonstreerd, waaronder spear-phishing-campagnes en ‘honingval’-operaties die worden gebruikt om relaties op te bouwen met interessante doelwitten om toegang te krijgen tot accounts of gevoelige informatie.’
De bevindingen komen tegen de achtergrond van een escalerend militair conflict in Iran, dat een spervuur van cyberaanvallen in de digitale sfeer veroorzaakt. Uit recent onderzoek van Check Point is gebleken dat de pro-Palestijnse hacktivistische groep, bekend als Handala Hack (ook bekend als Void Manticore), zijn activiteiten via Starlink IP-bereiken leidt om extern gerichte applicaties te onderzoeken op verkeerde configuraties en zwakke inloggegevens.
In de afgelopen maanden hebben meerdere Iran-nexus-tegenstanders, zoals Agrius (ook bekend als Agonizing Serpens, Marshtreader en Pink Sandstorm), ook gescand op kwetsbare Hikvision-camera’s en video-intercomoplossingen met behulp van bekende beveiligingsfouten zoals CVE-2017-7921 en CVE-2023-6895.
De doelgerichtheid is volgens Check Point geïntensiveerd in de nasleep van het huidige conflict in het Midden-Oosten. De uitbuitingspogingen tegen IP-camera’s zijn getuige geweest van een golf in Israël en de Golfstaten, waaronder de VAE, Qatar, Bahrein en Koeweit, samen met Libanon en Cyprus. De activiteit heeft camera’s van Dahua en Hikvision uitgekozen, die de twee bovengenoemde kwetsbaarheden bewapenen, evenals CVE-2021-36260, CVE-2025-34067 en CVE-2021-33044.
“Samen genomen zijn deze bevindingen consistent met de inschatting dat Iran, als onderdeel van zijn doctrine, gebruik maakt van camera-compromis voor operationele ondersteuning en voortdurende battle damage assessment (BDA) voor raketoperaties, mogelijk in sommige gevallen voorafgaand aan raketlanceringen”, aldus het bedrijf.
“Als gevolg hiervan kan het volgen van cameragerichte activiteit van specifieke, toegeschreven infrastructuren dienen als een vroege indicator van mogelijke vervolgkinetische activiteit.”
De oorlog van de VS en Israël met Iran heeft ook geleid tot een advies van het Canadian Centre for Cyber Security (CCCS), waarin werd gewaarschuwd dat Iran waarschijnlijk zijn cyberapparaat zal gebruiken om vergeldingsaanvallen uit te voeren op kritieke infrastructuur en informatieoperaties om de belangen van het regime te behartigen.
Enkele andere belangrijke ontwikkelingen die zich de afgelopen dagen hebben voorgedaan, worden hieronder opgesomd:
- Israëlische inlichtingendiensten hebben jarenlang het uitgebreide verkeerscameranetwerk van Teheran gehackt om de bewegingen van lijfwachten van ayatollah Ali Khamenei en andere Iraanse topfunctionarissen te volgen in de aanloop naar de moord op de opperste leider vorige week, zo meldde de Financial Times.
- De Iraanse Islamitische Revolutionaire Garde (IRGC) heeft het datacenter van Amazon in Bahrein aangevallen vanwege de steun van het bedrijf aan de “militaire en inlichtingenactiviteiten van de vijand”, aldus staatsmedia Fars News Agency op Telegram.
- Er wordt gezegd dat er actieve veegcampagnes gaande zijn tegen de Israëlische energie-, financiële, overheids- en nutssectoren. “Het wapenarsenaal van Iran omvat meer dan vijftien families (ZeroCleare, Meteor, Dustman, DEADWOOD, Apostle, BFG Agonizer, MultiLayer, PartialWasher en anderen)”, zei Anomali.
- Iraanse door de staat gesponsorde APT-groepen zoals MuddyWater, Charming Kitten, OilRig, Elfin en Fox Kitten “demonstreerden duidelijke tekenen van activering en snelle herschikking, waarbij ze zichzelf positioneerden voor vergeldingsoperaties te midden van het escalerende conflict”, zei LevelBlue, eraan toevoegend dat “cyber een van de meest toegankelijke asymmetrische instrumenten van Iran is voor vergelding tegen de Golfstaten die zijn aanvallen hebben veroordeeld en Amerikaanse operaties ondersteunen.”
- Volgens Flashpoint heeft een grootschalige #OpIsrael-cybercampagne waarbij pro-Russische en pro-Iraanse actoren betrokken zijn, zich gericht op Israëlische industriële controlesystemen (ICS) en overheidsportals in Koeweit, Jordanië en Bahrein. De campagne wordt aangestuurd door NoName057(16), Handala Hack, Fatemiyoun Electronic Team en Cyber Islamic Resistance (ook bekend als 313 Team).
- Tussen 28 februari 2026 en 2 maart 2026 eiste de pro-Russische hacktivistische groep Z-Pentest de verantwoordelijkheid op voor het compromitteren van verschillende in de VS gevestigde entiteiten, waaronder ICS- en SCADA-systemen en meerdere CCTV-netwerken. “De timing van deze niet-geverifieerde claims, die samenviel met Operatie Epic Fury, suggereert dat Z-Pentest waarschijnlijk Amerikaanse entiteiten als doelwit begon te prioriteren”, vertelde Adam Meyers, hoofd van Counter Adversary Operations bij CrowdStrike, aan The Hacker News.
“De offensieve cybercapaciteiten van Iran zijn uitgegroeid tot een duurzaam instrument van staatsmacht dat wordt gebruikt ter ondersteuning van het verzamelen van inlichtingen, regionale invloed en strategische signalering tijdens perioden van geopolitieke spanningen”, aldus UltraViolet Cyber. “Een bepalend kenmerk van de huidige cyberdoctrine van Iran is de nadruk op identiteits- en cloudcontrolevliegtuigen als het primaire aanvalsoppervlak.”
“In plaats van prioriteit te geven aan zero-day-exploitatie of zeer nieuwe malware op grote schaal, hebben Iraanse operators de neiging zich te concentreren op herhaalbare toegangstechnieken zoals diefstal van inloggegevens, het opsommen van wachtwoorden en social engineering, gevolgd door volharding via breed inzetbare bedrijfsdiensten.”
Organisaties wordt geadviseerd om hun cyberbeveiligingshouding te versterken, de monitoringmogelijkheden te versterken, de blootstelling aan internet te beperken, toegang op afstand tot operationele technologie (OT)-systemen uit te schakelen, phishing-resistente multi-factor authenticatie (MFA) af te dwingen, netwerksegmentatie te implementeren, offline back-ups te maken en ervoor te zorgen dat alle internetgerichte applicaties, VPN-gateways en edge-apparaten up-to-date zijn.
“Westerse organisaties moeten zeer alert blijven op mogelijke cyberreacties nu het conflict voortduurt en de activiteiten zich verder kunnen ontwikkelen dan hacktivisme en zich kunnen richten op destructieve operaties”, aldus Meyers.
