Iran-nahe Hackergruppe infiltriert irakische und kurdische Regierungsnetzwerke
BladedFeline zielt auf strategische Ziele im Irak und in Kurdistan
Jena (pts028/05.06.2025/14:15)
Regierungsbeamte gehören zu den lukrativsten Zielen von Cyberkriminellen. Ein erfolgreicher Angriff liefert mitunter wertvolle Informationen, die unter Umständen nur für die höchsten Stellen eines Landes gedacht waren. Einen besonders perfiden Fall haben nun Forscher des europäischen IT-Sicherheitsherstellers ESET aufgedeckt. Cyberkriminelle der Gruppe "BladedFeline" konnten mit einer erfolgreichen Spionagekampagne zahlreiche Computer hochrangiger kurdischer und irakischer Beamter hacken. Ihr Ziel: Wertvolle Daten für zielgerichtete Sabotage und Manipulation.
"Zwischen Öl, Diplomatie und geopolitischer Kontrolle verlaufen die Frontlinien moderner Cyberspionage", sagt Michael Klatte, IT-Sicherheitsexperte bei ESET. "Wer in der Region Einfluss gewinnen will, braucht Informationen. Genau deshalb sind kurdische und irakische Regierungsstellen ein bevorzugtes Ziel iranisch gesteuerter Hackergruppen wie BladedFeline."
Spionage mit maßgeschneiderten Tools
Wie die Angreifer in die Systeme ihrer Opfer gelangten, ist bislang ungewiss. Klar ist jedoch, womit sie gearbeitet haben. Im Zentrum der Kampagne stehen zwei neu entdeckte Schadprogramme, mit denen die Hacker unbemerkt Daten abgreifen und ihre Spionage langfristig sichern konnten.
- Whisper: eine Backdoor, die sich in kompromittierte Microsoft Exchange-Webmail-Konten einklinkt und über manipulierte E-Mail-Anhänge mit den Angreifern kommuniziert.
- PrimeCache: ein bösartiges IIS-Modul, das auf Windows-Webservern installiert wird und verdeckte Befehle über manipulierte HTTP-Anfragen entgegennimmt.
Beide Werkzeuge ermöglichen den Angreifern eine nahezu unsichtbare Kommunikation mit infizierten Systemen. Die Tools wurden zusammen mit zwei Reverse-Tunnel-Programmen namens Laret und Pinar eingesetzt, um Daten verdeckt aus den Netzwerken abzuleiten und dauerhaft Zugriff zu behalten.
Zusätzlich nutzte die Gruppe weitere Werkzeuge, etwa Webshells, PowerShell-Loader und Listener-Module, um ihre Aktivitäten in den betroffenen Systemen zu koordinieren. Selbst ein regionaler Telekommunikationsanbieter in Usbekistan fiel der Kampagne zum Opfer.
BladedFeline nutzt Werkzeuge der gefürchteten OilRig-Gruppe
Die technischen Merkmale vieler der eingesetzten Schadprogramme zeigen deutliche Parallelen zu bekannten Schadprogrammen von OilRig. So weist das PrimeCache-Modul signifikante Ähnlichkeiten zur RDAT-Backdoor auf, die OilRig bereits in früheren Kampagnen verwendet hatte. Auch der verwendete Code zur Datenverschlüsselung stammt augenscheinlich aus derselben Entwicklungsumgebung. Die Hackergruppe ist seit mindestens 2017 aktiv. In der Vergangenheit hat sie sich mit ähnlichen Attacken auf kurdische Beamte einen Namen gemacht.
"Die Hacker gehen äußerst zielgerichtet vor und verfügen über Ressourcen, wie sie nur staatlich unterstützte Akteure besitzen", so Klatte weiter. "Unsere Analyse legt nahe, dass BladedFeline langfristige Zugänge aufbauen will, um vertrauliche Informationen aus Politik, Verwaltung und möglicherweise auch Wirtschaft zu erlangen."
Weitere Informationen zu BladedFeline und der aktuellen Hackingkampagne gibt es auf ESETs Blog Welivesecurity.com.
(Ende)| Aussender: | ESET Deutschland GmbH |
| Ansprechpartner: | Philipp Plum |
| Tel.: | +49 3641 3114 141 |
| E-Mail: | philipp.plum@eset.com |
| Website: | www.eset.de |
