Dindoor bakdør
Trusseletterretningsforskning har avdekket bevis på en iransk statsalliert cyberoperasjon som med hell integrerte seg i nettverkene til flere organisasjoner over hele Nord-Amerika. De berørte enhetene inkluderer banker, flyplasser, ideelle organisasjoner og den israelske avdelingen av et programvareselskap som betjener forsvars- og romfartssektoren.
Kampanjen har blitt tilskrevet MuddyWater, også kjent som Seedworm, en trusselgruppe tilknyttet Irans departement for etterretning og sikkerhet (MOIS). Etterforskere vurderer at operasjonen startet tidlig i februar 2026. Nettverksaktivitet knyttet til kampanjen dukket opp kort tid etter militære angrep utført av USA og Israel mot Iran, noe som tyder på en potensiell geopolitisk utløser bak cyberaktiviteten.
Spesiell oppmerksomhet ser ut til å ha blitt rettet mot den israelske avdelingen av den aktuelle programvareleverandøren. Selskapet leverer løsninger til flere bransjer, inkludert forsvar og romfart, noe som gjør det til et strategisk verdifullt mål for etterretningsinnsamling og potensiell forstyrrelse.
Innholdsfortegnelse
Dindoor: En nylig identifisert bakdør som utnytter Deno
Sikkerhetsanalytikere som undersøkte inntrengingene identifiserte utplasseringen av en tidligere udokumentert bakdør kalt Dindoor. Skadevaren bruker Deno JavaScript-kjøretidssystemet som en del av utførelsesmiljøet sitt, en relativt uvanlig teknikk som kan hjelpe skadevaren med å unngå å bli oppdaget i tradisjonelle sikkerhetsovervåkingssystemer.
Angrepene som involverte programvareleverandøren, en amerikansk bankinstitusjon og en kanadisk ideell organisasjon ser ut til å ha tjent som inngangspunkter for å installere denne bakdøren.
Det ble også identifisert bevis på forsøk på datautrensing. Etterforskerne observerte bruken av Rclone-verktøyet til å overføre informasjon fra det kompromitterte programvareselskapets miljø til en skylagringsbøtte som ligger på Wasabi. På analysetidspunktet var det fortsatt uklart om datautrensingsforsøket til slutt var vellykket.
Fakeset-bakdør vises i flere kompromitterte nettverk
En separat skadelig programvarekomponent kjent som Fakeset, skrevet i Python, ble oppdaget i nettverkene til en amerikansk flyplass og en annen ideell organisasjon. Denne bakdøren ble hentet fra infrastruktur tilknyttet Backblaze, en USA-basert leverandør av skylagring og sikkerhetskopiering.
Den ondsinnede nyttelasten ble digitalt signert med et sertifikat som tidligere har vært knyttet til to andre skadevarefamilier, Stagecomp og Darkcomp, som begge historisk sett er knyttet til MuddyWater-operasjoner.
Trusselforskere har identifisert skadevareeksempler med følgende signaturer knyttet til MuddyWater-økosystemet:
- Trojaner:Python/MuddyWater.DB!MTB
- Bakdør.Python.MuddyWater.a
Selv om Stagecomp og Darkcomp ikke ble oppdaget på de kompromitterte nettverkene som ble undersøkt i denne etterforskningen, tyder gjenbruken av det samme digitale sertifikatet sterkt på involvering fra den samme trusselaktøren, noe som forsterker tilskrivningen til Seedworm.
Utvidelse av iranske cyberkapasiteter og sosial manipuleringstaktikk
Iranske cybertrusselaktører har forbedret sine operative evner betydelig de siste årene. Utviklingen og verktøyene deres for skadelig programvare har blitt mer sofistikerte, noe som muliggjør mer diskret utholdenhet og mer effektiv sideveis bevegelse i offernettverk.
Like bemerkelsesverdig er utvidelsen av deres menneskefokuserte angrepsstrategier. Iranske operatører har demonstrert stadig mer avanserte sosial manipuleringsmetoder, inkludert svært målrettede spear-phishing-kampanjer og langsiktige «honningfelle»-operasjoner designet for å bygge tillit hos interesserte individer. Disse taktikkene brukes ofte for å få tilgang til kontoer eller trekke ut sensitiv informasjon.
Overvåking gjennom sårbare kameraer
Parallelle undersøkelser har avdekket at andre trusselgrupper med tilknytning til Iran aktivt gransker internett-tilkoblede overvåkingsenheter. En slik aktør, Agrius, også kjent under aliasene Agonizing Serpens, Marshtreader og Pink Sandstorm, har blitt observert mens han skanner etter sårbar videoovervåkingsinfrastruktur.
Forskere har dokumentert forsøk på utnyttelse rettet mot Hikvision-kameraer og videointercom-systemer gjennom kjente sårbarheter. Disse aktivitetene har intensivert seg midt i den pågående konflikten i Midtøsten, spesielt i Israel og flere gulfstater.
Kampanjen har fokusert på å utnytte sårbarheter som påvirker overvåkingsutstyr fra Dahua og Hikvision, inkludert:
- CVE-2017-7921
- CVE-2023-6895
- CVE-2021-36260
- CVE-2025-34067
- CVE-2021-33044
Sikkerhetsanalytikere mener slike kompromisser kan støtte innsamling av militær etterretning, inkludert operasjonell overvåking og vurdering av kampskader (BDA) knyttet til missiloperasjoner. I noen tilfeller kan kamerainnbrudd forekomme før missiloppskytninger for å hjelpe med målretting eller overvåking av resultater.
Cyberaktivitet som en forløper til kinetiske operasjoner
Den koordinerte målrettinga av overvåkingsinfrastruktur samsvarer med langvarige vurderingar om at iransk cyberdoktrine integrerer digital rekognosering i breiare militær planlegging. Kompromitterte kameraer kan gi visuell etterretning og situasjonsforståelse i sanntid.
Følgelig kan overvåking av skanneaktivitet og utnyttelsesforsøk mot kamerainfrastruktur knyttet til kjente iranske cybereiendeler tjene som et tidlig varslingssignal for potensielle påfølgende kinetiske operasjoner.
Økende risiko for cyberrepressalisjoner
Den eskalerende konflikten mellom USA, Israel og Iran har økt risikoen for cyberrepressalier. Som svar på det voksende trusselbildet har Canadian Centre for Cyber Security (CCCS) utstedt en advarsel om at Iran sannsynligvis vil utnytte sine cyberkapasiteter mot kritisk infrastruktur og utføre påvirknings- eller informasjonsoperasjoner for å fremme strategiske interesser.
Denne utviklingen fremhever den økende rollen cyberspace har som en parallell slagmark under geopolitiske konflikter, der spionasje, forstyrrelser og etterretningsinnsamling i økende grad følger tradisjonelle militære handlinger.
