MuddyWater: Iran-nahe Hackergruppe setzt auf neue Malware

Die mit dem Iran verbundene Hackergruppe MuddyWater hat ihre Cyberangriffe ausgeweitet. Mit speziell entwickelter Schadsoftware stehlen die Angreifer systematisch Login-Daten und Browserinformationen von Organisationen im Nahen Osten – versteckt hinter einem klassischen Videospiel.

Sicherheitsforscher von ESET haben heute Details zu einer neuartigen Spionagekampagne veröffentlicht. Die Angreifer nutzen eine maßgeschneiderte Backdoor namens MuddyViper sowie einen ausgeklügelten Loader mit dem Codenamen Fooder. Die Kampagne läuft bereits seit September 2024 und richtet sich hauptsächlich gegen Technologie-, Ingenieur- und Fertigungsunternehmen sowie Kommunalverwaltungen in Israel. Auch Ziele in Ägypten wurden identifiziert.

Das bemerkenswerteste Element dieser Angriffswelle ist die kreative Verschleierungstechnik. Der Fooder-Loader tarnt sich als das Kultspiel “Snake” aus den 90er Jahren – nicht etwa zur Unterhaltung, sondern als raffinierten Trick gegen Sicherheitssoftware.

Die Schadsoftware integriert die Spiellogik von Snake, um zeitliche Verzögerungen zu erzeugen. Diese Pausen sind lang genug, damit automatische Sicherheitsprüfungen die Software als harmlos einstufen. Parallel dazu nutzt Fooder die Windows CNG-Kryptografie-Schnittstelle, um die eigentliche Schadsoftware direkt im Arbeitsspeicher zu entschlüsseln und auszuführen. Auf der Festplatte hinterlässt dieser Vorgang kaum Spuren – ein Albtraum für Ermittler.

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind. Aktuelle Kampagnen wie MuddyViper zeigen, wie Phishing, gezielte Backdoors und in‑memory‑Loader Unternehmen kompromittieren können. Das kostenlose E‑Book “Cyber Security Awareness Trends” erklärt praxisnahe Schutzmaßnahmen, Prioritäten für IT‑Verantwortliche und welche Kontrollen Sie sofort prüfen sollten, um Credential‑Harvesting und Missbrauch von Fernwartungstools zu verhindern. Jetzt E‑Book „Cyber Security Awareness Trends“ kostenlos herunterladen

Ist die Tarnung erfolgreich, aktiviert Fooder die Hauptwaffe: die MuddyViper-Backdoor.

Gezielte Datenjagd mit Spezialwerkzeugen

MuddyViper markiert einen Strategiewechsel bei MuddyWater. Statt auf fertige Hacking-Tools zu setzen, entwickelte die Gruppe eigene Malware in C++. Die Backdoor verschafft Angreifern vollständige Fernkontrolle über infizierte Systeme – vom Ausführen beliebiger Befehle über Dateitransfers bis hin zum gezielten Abgreifen von Login-Informationen.

Für den Datendiebstahl setzt MuddyWater auf ein Arsenal spezialisierter Tools:

• CE-Notes: Extrahiert Daten aus Chromium-basierten Browsern
• Blub: Stiehlt gespeicherte Zugangsdaten aus Chrome, Edge, Firefox und Opera
• LP-Notes: Sortiert und bereitet die erbeuteten Credentials für den Abtransport vor

„Der Einsatz bisher unbekannter Komponenten wie Fooder und MuddyViper zeigt das Bestreben, Tarnung, Persistenz und Fähigkeiten zum Credential-Harvesting zu verbessern”, erklären die ESET-Forscher.

Wie die Angreifer in Unternehmen eindringen

Der Einstieg erfolgt nach bekanntem Muster: MuddyWater verschickt Phishing-Mails mit PDF-Anhängen. Diese Dokumente verleiten Empfänger dazu, legitime Fernwartungssoftware wie Atera, Level, PDQ oder SimpleHelp herunterzuladen – allerdings von File-Sharing-Diensten wie OneHub oder Egnyte.

Sobald die Fernwartungstools installiert sind, missbrauchen die Angreifer diese, um die Schadprogramme Fooder und MuddyViper nachzuladen. Die Ziele konzentrieren sich stark auf kritische Sektoren in Israel, darunter Universitäten und Versorgungsunternehmen. Das passt zu den geopolitischen Interessen des mutmaßlichen Auftraggebers: dem iranischen Ministerium für Nachrichtendienste und Sicherheit (MOIS).

Von der Cyberattacke zum Raketenbeschuss

Diese Entwicklung gewinnt zusätzliche Brisanz vor dem Hintergrund eines AWS-Berichts von Ende November 2025. Amazon Web Services hatte aufgedeckt, dass MuddyWater zuvor CCTV-Kameras in Jerusalem gehackt hatte – nicht etwa für klassische Spionage, sondern zur Echtzeit-Zielerfassung.

Die digitale Überwachung diente demnach dazu, physische Raketenangriffe zu justieren. Amazon bezeichnete diese Strategie als “fundamentale Evolution moderner Kriegsführung”, bei der digitale Einbrüche direkt militärische Operationen unterstützen.

Die Entdeckung von MuddyViper zeigt: Die Gruppe entwickelt ihr Arsenal trotz öffentlicher Aufmerksamkeit weiter. „MuddyWater ist eine seit langem aktive Cyberespionage-Gruppe, und neue Erkenntnisse deuten auf eine Kampagne hin, die zahlreiche Organisationen trifft”, kommentierte Sinisa Markovic von Help Net Security. Der Wechsel zu maßgeschneiderten Tools statt PowerShell-Skripten deutet darauf hin, dass die Angreifer bekannte Erkennungssignaturen umgehen wollen.

Was Unternehmen jetzt tun sollten

Sicherheitsexperten warnen: Die Entwicklung eigener Malware-Familien wie MuddyViper signalisiert langfristige Investitionen in Spionagefähigkeiten. Die Integration neuartiger Verschleierungstechniken – wie die Snake-Verzögerungstaktik – zeigt einen agilen und anpassungsfähigen Gegner.

Organisationen in den betroffenen Regionen sollten den Einsatz von Fernwartungssoftware in ihren Netzwerken kritisch prüfen und nach den spezifischen Indikatoren für Fooder und MuddyViper Ausschau halten. Wenn die Grenzen zwischen Cyberespionage und physischer Kriegsführung verschwimmen, könnte der Diebstahl von Zugangsdaten nur der Vorbote zerstörerischerer Angriffe sein.

PS: IT‑Sicherheit muss nicht teuer sein. Der kostenlose Report zeigt, wie Sie mit konkreten Kontrollen, Schulungen gegen Phishing und klaren Prozessen Ihr Risiko deutlich senken können – auch ohne zusätzliches Personal. Holen Sie sich Checklisten für Incident‑Response, praxisnahe Maßnahmen und Hinweise zu aktuellen gesetzlichen Anforderungen, damit Ihre Organisation besser gegen Backdoors und Credential‑Diebstahl gewappnet ist. Jetzt kostenlosen Cyber‑Security‑Guide anfordern