MuddyViper: Spionage-Trojaner tarnt sich als Retro-Computerspiel

Eine raffinierte Cyberangriffswelle gegen kritische Infrastruktur in Israel und Ägypten nutzt eine verblüffende Tarnung: Das Kultspiel “Snake” dient als Einfallstor für hochentwickelte Spionagesoftware. Dahinter steckt eine gefährliche Weiterentwicklung iranischer Hacker-Kapazitäten.

Die Iran-nahe Hackergruppe MuddyWater hat ihre Angriffsmethoden drastisch verfeinert. Das Cybersecurity-Unternehmen ESET deckte eine Kampagne auf, bei der eine neue Schadsoftware namens “MuddyViper” zum Einsatz kommt – versteckt hinter dem klassischen Snake-Handyspiel. Die auch als Mango Sandstorm oder TA450 bekannte Gruppe gilt als Teil des iranischen Geheimdienstes MOIS.

Herzstück der Attacke ist der Schädling “Fooder”, ein maßgeschneidertes Ladeprogramm in C/C++. Was Nutzer als funktionsfähige Snake-Version wahrnehmen, entpuppt sich als ausgeklügelte Täuschung. Während die Spiellogik den Anwender beschäftigt, verzögert sie gleichzeitig die eigentliche Schadfunktion – ein gezielter Trick, um automatische Sicherheitsprüfungen zu umgehen.

Warum sind so viele Unternehmen bei gezielten Cyberangriffen unvorbereitet? Aktuelle Analysen zeigen, dass staatlich unterstützte Gruppen verstärkt dateilose Backdoors und ausgefeilte Tarnungen nutzen – genau wie in dieser Kampagne. Der kostenlose E‑Book-Leitfaden „Cyber Security Awareness Trends“ erklärt praxisnahe Abwehrmaßnahmen, welche Erkennungslücken geschlossen werden müssen und wie Sie Ihr Team stärken. Er enthält konkrete Checklisten zu EDR, Monitoring des Arbeitsspeichers und Notfallplänen. Jetzt Gratis-E‑Book „Cyber Security Awareness Trends“ herunterladen

Sandbox-Systeme, die verdächtige Dateien testen, brechen ihre Analyse oft nach einer bestimmten Zeitspanne ab. Genau diese Eigenschaft macht sich Fooder zunutze. Erst nach der “harmlosen” Spielphase schlägt die Malware zu.

Unsichtbar im Arbeitsspeicher

Die eigentliche Gefahr liegt in der Ausführungsmethode: Fooder lädt die MuddyViper-Backdoor direkt in den Arbeitsspeicher, ohne jemals eine Datei auf der Festplatte zu hinterlassen. Diese “dateilose” Infizierung erschwert die forensische Aufklärung erheblich.

Ist MuddyViper erst installiert, haben die Angreifer vollständigen Fernzugriff. Die Schadsoftware kann Windows-Anmeldedaten abgreifen, Browserdaten stehlen und beliebige Befehle ausführen. Durch Manipulation von Registry-Einträgen oder geplanten Aufgaben verankert sie sich dauerhaft im System.

Besonders raffiniert: Die Kommunikation mit den Kontrollservern erfolgt verschlüsselt über legitime Windows-Kryptographie-Schnittstellen (CNG-API). Der Datenverkehr sieht aus wie normaler Netzwerkverkehr – ein ungewöhnlich ausgefeilter Ansatz für diese Hackergruppe.

Kritische Infrastruktur im Visier

Von Ende 2024 bis Anfang 2025 konzentrierten sich die Angriffe auf hochwertige Ziele in Israel. Betroffen waren Ingenieurbüros, Kommunalverwaltungen, Produktionsbetriebe, Energieversorger und Universitäten. Auch ein Technologieunternehmen in Ägypten fiel den Hackern zum Opfer.

Die Zielauswahl offenbart die strategische Ausrichtung: kritische Infrastruktur und Wirtschaftssektoren, deren Kompromittierung erheblichen Schaden anrichten könnte. Vergleichbar wäre ein Angriff auf deutsche DAX-Konzerne, Stadtwerke oder Forschungseinrichtungen.

Koordinierte iranische Cyber-Operationen?

ESET-Forscher entdeckten einen beunruhigenden Zusammenhang: Ein angegriffenes Energieunternehmen war zuvor bereits von Lyceum infiltriert worden, einer anderen Iran-nahen Hackergruppe. Diese Überschneidung deutet auf koordinierte Operationen hin – möglicherweise tauschen verschiedene iranische Cyber-Einheiten Zugänge aus oder nutzen gemeinsame Infrastruktur.

“Der Einsatz bisher undokumentierter Komponenten zeigt das Bestreben, Heimlichkeit und Dauerzugriff zu maximieren”, konstatiert ESET. MuddyWater galt lange als relativ “laut” und wenig ausgereift – diese Kampagne markiert einen deutlichen Reifeschritt.

Alte Bekannte mit neuen Waffen

Parallel zu den maßgeschneiderten Tools setzt die Gruppe weiterhin auf bewährte Methoden. Legitime Fernwartungssoftware wie Atera und ScreenConnect dient als Hintertür, ergänzt durch einen neuen Browser-Datendieb namens “CE-Notes”.

Die Kombination aus gekauften Tools und Eigenentwicklungen entspricht einem Trend bei staatlich unterstützten Hackern: Sie investieren in Spezialwerkzeuge, um verbesserte Schutzmechanismen zu umgehen. Die Spieltarnung zeigt zudem, wie wirkungsvoll Social Engineering bleibt – menschliche Neugier und Nostalgie hebeln technische Sicherungen aus.

Was kommt als Nächstes?

Experten rechnen nicht damit, dass die Enttarnung MuddyWater stoppen wird. Üblicherweise passen Angreifer ihre Methoden nach einer Entdeckung an. Organisationen, besonders im Nahen Osten sowie in Energie- und Regierungssektoren weltweit, sollten ihre Erkennungssysteme aktualisieren.

ESET warnt vor weiteren Varianten speicherresidenter Schadsoftware und noch raffinierterer Tarnung. Unternehmen sollten unautorisierten Software-Einsatz – selbst scheinbar harmlose Spiele – strikt überwachen. Moderne Endpoint-Detection-Systeme (EDR), die den Arbeitsspeicher auf dateilose Bedrohungen prüfen können, werden zur Pflicht.

Kann ein nostalgisches Computerspiel wirklich die erste Verteidigungslinie durchbrechen? Diese Kampagne beweist: Unterschätzte Angriffsvektoren bleiben die gefährlichsten.

PS: Sie sind für IT-Sicherheit in einem Unternehmen oder einer kritischen Einrichtung verantwortlich? Holen Sie sich praxisnahe Empfehlungen aus dem Gratis‑E‑Book: Erfahren Sie, wie man dateilose Malware erkennt, verschlüsselte C2-Kommunikation enttarnt und organisatorische Abläufe so anpasst, dass laterale Bewegung und Dauerzugriff frühzeitig gestoppt werden. Kompakte Maßnahmen, um vorhandene Ressourcen besser zu nutzen. Jetzt kostenlosen Leitfaden für Unternehmen sichern