Dindoor bagdør
Trusselsefterretningsforskning har afdækket beviser for en iransk statsallieret cyberoperation, der med succes har integreret sig i netværkene hos adskillige organisationer i Nordamerika. De berørte enheder omfatter banker, lufthavne, nonprofitorganisationer og den israelske afdeling af en softwarevirksomhed, der betjener forsvars- og luftfartssektoren.
Kampagnen er blevet tilskrevet MuddyWater, også kendt som Seedworm, en trusselsgruppe tilknyttet Irans ministerium for efterretnings- og sikkerhedspolitik (MOIS). Efterforskere vurderer, at operationen begyndte i begyndelsen af februar 2026. Netværksaktivitet forbundet med kampagnen dukkede op kort efter militærangreb udført af USA og Israel mod Iran, hvilket tyder på en potentiel geopolitisk udløser bag cyberaktiviteten.
Der synes at være blevet rettet særlig opmærksomhed mod den israelske afdeling af den pågældende softwareudbyder. Virksomheden leverer løsninger til flere industrier, herunder forsvar og luftfart, hvilket gør den til et strategisk værdifuldt mål for indsamling af efterretninger og potentiel forstyrrelse.
Indholdsfortegnelse
Dindoor: En nyligt identificeret bagdør, der udnytter Deno
Sikkerhedsanalytikere, der undersøgte indtrængen, identificerede implementeringen af en tidligere udokumenteret bagdør kaldet Dindoor. Malwaren bruger Deno JavaScript-runtime som en del af sit eksekveringsmiljø, en relativt usædvanlig teknik, der kan hjælpe malwaren med at undgå at blive opdaget i traditionelle sikkerhedsovervågningssystemer.
Angrebene, der involverede softwareleverandøren, en amerikansk bankinstitution og en canadisk nonprofitorganisation, ser ud til at have fungeret som indgangspunkter til installation af denne bagdør.
Der blev også identificeret beviser for forsøg på dataudrensning. Efterforskere observerede brugen af Rclone-værktøjet til at overføre information fra den kompromitterede softwarevirksomheds miljø til en cloud-lagringsenhed hostet på Wasabi. På tidspunktet for analysen var det stadig uklart, om dataudrensningsforsøget i sidste ende var vellykket.
Fakeset-bagdør vises i yderligere kompromitterede netværk
En separat malware-komponent kendt som Fakeset, skrevet i Python, blev opdaget i netværkene i en amerikansk lufthavn og en anden nonprofitorganisation. Denne bagdør blev hentet fra infrastruktur tilknyttet Backblaze, en amerikansk udbyder af cloudlagring og backup.
Den ondsindede nyttelast blev digitalt signeret ved hjælp af et certifikat, der tidligere har været knyttet til to andre malware-familier, Stagecomp og Darkcomp, som begge historisk set er forbundet med MuddyWater-operationer.
Trusselsforskere har identificeret malware-eksempler med følgende signaturer knyttet til MuddyWater-økosystemet:
- Trojan:Python/MuddyWater.DB!MTB
- Bagdør.Python.MuddyWater.a
Selvom Stagecomp og Darkcomp ikke selv blev opdaget på de kompromitterede netværk, der blev undersøgt i denne undersøgelse, tyder genbrugen af det samme digitale certifikat stærkt på involvering af den samme trusselsaktør, hvilket forstærker tilskrivningen til Seedworm.
Udvidelse af iranske cyberkapaciteter og social engineering-taktikker
Iranske cybertrusselsaktører har forbedret deres operationelle kapaciteter betydeligt i de senere år. Deres malwareudvikling og -værktøjer er blevet mere sofistikerede, hvilket muliggør mere diskret persistens og mere effektiv lateral bevægelse inden for ofrenes netværk.
Lige så bemærkelsesværdigt er udvidelsen af deres menneskefokuserede angrebsstrategier. Iranske operatører har demonstreret stadig mere avancerede social engineering-metoder, herunder meget målrettede spear-phishing-kampagner og langvarige 'honeytrap'-operationer designet til at opbygge tillid hos interesserede personer. Disse taktikker bruges ofte til at få adgang til konti eller udtrække følsomme oplysninger.
Overvågning via sårbare kameraer
Parallelle undersøgelser har afsløret, at andre trusselsgrupper med tilknytning til Iran aktivt undersøger internetforbundne overvågningsenheder. En sådan aktør, Agrius, også kendt under aliasserne Agonizing Serpens, Marshtreader og Pink Sandstorm, er blevet observeret i gang med at scanne efter sårbar videoovervågningsinfrastruktur.
Forskere har dokumenteret udnyttelsesforsøg rettet mod Hikvision-kameraer og videointercom-systemer gennem kendte sårbarheder. Disse aktiviteter er intensiveret midt i den igangværende konflikt i Mellemøsten, især i Israel og flere Golfstater.
Kampagnen har fokuseret på at udnytte sårbarheder, der påvirker overvågningsudstyr fra Dahua og Hikvision, herunder:
- CVE-2017-7921
- CVE-2023-6895
- CVE-2021-36260
- CVE-2025-34067
- CVE-2021-33044
Sikkerhedsanalytikere mener, at sådanne kompromiser kan understøtte indsamling af militær efterretning, herunder operationel overvågning og vurdering af kampskader (BDA) relateret til missiloperationer. I nogle tilfælde kan kameraindbrud forekomme før missilaffyringer for at hjælpe med målretning eller overvågning af resultater.
Cyberaktivitet som forløber for kinetiske operationer
Den koordinerede målretning af overvågningsinfrastruktur stemmer overens med langvarige vurderinger af, at iransk cyberdoktrin integrerer digital rekognoscering i bredere militær planlægning. Kompromitterede kameraer kan give visuel efterretning og situationsbevidsthed i realtid.
Derfor kan overvågning af scanningsaktivitet og udnyttelsesforsøg mod kamerainfrastruktur knyttet til kendte iranske cyberaktiver tjene som et tidligt advarselssignal for potentielle opfølgende kinetiske operationer.
Stigende risici for cybergengældelse
Den eskalerende konflikt mellem USA, Israel og Iran har øget risikoen for cybergengældelse. Som reaktion på det voksende trusselsbillede har det canadiske center for cybersikkerhed (CCCS) udsendt en advarsel om, at Iran sandsynligvis vil udnytte sine cyberkapaciteter mod kritisk infrastruktur og udføre påvirknings- eller informationsoperationer for at fremme strategiske interesser.
Disse udviklinger fremhæver cyberspaces voksende rolle som en parallel slagmark under geopolitiske konflikter, hvor spionage, forstyrrelser og efterretningsindsamling i stigende grad ledsager traditionelle militære handlinger.
