Dindoor Achterdeur
Uit onderzoek naar cyberdreigingen is gebleken dat een door de Iraanse staat gesteunde cyberoperatie zich succesvol heeft genesteld in de netwerken van verschillende organisaties in Noord-Amerika. Onder de getroffen entiteiten bevinden zich banken, luchthavens, non-profitorganisaties en de Israëlische vestiging van een softwarebedrijf dat actief is in de defensie- en ruimtevaartsector.
De campagne wordt toegeschreven aan MuddyWater, ook bekend als Seedworm, een dreigingsgroep die banden heeft met het Iraanse Ministerie van Inlichtingen en Veiligheid (MOIS). Onderzoekers schatten dat de operatie begin februari 2026 van start ging. Netwerkactiviteit die verband houdt met de campagne dook kort na de militaire aanvallen van de Verenigde Staten en Israël op Iran op, wat wijst op een mogelijke geopolitieke aanleiding voor de cyberactiviteit.
Er lijkt bijzondere aandacht te zijn gericht op de Israëlische vestiging van de beoogde softwareleverancier. Het bedrijf levert oplossingen aan diverse sectoren, waaronder defensie en lucht- en ruimtevaart, waardoor het een strategisch waardevol doelwit is voor het verzamelen van inlichtingen en mogelijke verstoringen.
Inhoudsopgave
Dindoor: een nieuw ontdekte backdoor die gebruikmaakt van Deno
Beveiligingsanalisten die de inbraken onderzochten, ontdekten de inzet van een voorheen ongedocumenteerde backdoor genaamd Dindoor. De malware gebruikt de Deno JavaScript-runtime als onderdeel van zijn uitvoeringsomgeving, een relatief ongebruikelijke techniek die de malware mogelijk helpt om detectie door traditionele beveiligingssystemen te omzeilen.
De aanvallen op de softwareleverancier, een Amerikaanse bankinstelling en een Canadese non-profitorganisatie lijken te hebben gediend als toegangspunten voor het installeren van deze backdoor.
Er werden ook aanwijzingen gevonden voor pogingen tot data-exfiltratie. Onderzoekers observeerden het gebruik van het Rclone-programma om informatie over te dragen van de gecompromitteerde omgeving van het softwarebedrijf naar een cloudopslagbucket die gehost werd door Wasabi. Ten tijde van de analyse was het nog onduidelijk of de poging tot data-exfiltratie uiteindelijk succesvol was.
Fakeset-achterdeur duikt op in meer gecompromitteerde netwerken.
Een afzonderlijk malwarecomponent genaamd Fakeset, geschreven in Python, werd gedetecteerd in de netwerken van een Amerikaanse luchthaven en een andere non-profitorganisatie. Deze backdoor werd gevonden in de infrastructuur van Backblaze, een Amerikaanse aanbieder van cloudopslag en back-updiensten.
De schadelijke payload was digitaal ondertekend met een certificaat dat eerder in verband is gebracht met twee andere malwarefamilies, Stagecomp en Darkcomp, die beide historisch gezien geassocieerd worden met MuddyWater-operaties.
Beveiligingsonderzoekers hebben malwaremonsters geïdentificeerd met de volgende kenmerken die verband houden met het MuddyWater-ecosysteem:
- Trojan:Python/MuddyWater.DB!MTB
- Backdoor.Python.Modderwater.a
Hoewel Stagecomp en Darkcomp zelf niet werden aangetroffen op de gecompromitteerde netwerken die in dit onderzoek zijn geanalyseerd, wijst het hergebruik van hetzelfde digitale certificaat sterk op betrokkenheid van dezelfde dreigingsactor, wat de toewijzing aan Seedworm versterkt.
Uitbreiding van Iraanse cybercapaciteiten en social engineering-tactieken
Iraanse cybercriminelen hebben hun operationele mogelijkheden de afgelopen jaren aanzienlijk verbeterd. Hun malware-ontwikkeling en -tools zijn geavanceerder geworden, waardoor ze zich onopvallender kunnen handhaven en zich effectiever binnen slachtoffernetwerken kunnen verplaatsen.
Eveneens opmerkelijk is de uitbreiding van hun op mensen gerichte aanvalsstrategieën. Iraanse aanvallers hebben steeds geavanceerdere methoden van social engineering gedemonstreerd, waaronder zeer gerichte spear-phishingcampagnes en langdurige 'honeytrap'-operaties die zijn ontworpen om vertrouwen te winnen bij personen van belang. Deze tactieken worden vaak gebruikt om toegang tot accounts te verkrijgen of gevoelige informatie te bemachtigen.
Bewaking via kwetsbare camera’s
Parallelle onderzoeken hebben uitgewezen dat andere aan Iran gelieerde dreigingsgroepen actief bezig zijn met het opsporen van via internet verbonden bewakingsapparatuur. Een van deze actoren, Agrius, ook bekend onder de aliassen Agonizing Serpens, Marshtreader en Pink Sandstorm, is waargenomen terwijl deze op zoek was naar kwetsbare videobewakingsinfrastructuur.
Onderzoekers hebben pogingen tot misbruik gedocumenteerd die gericht waren op Hikvision-camera's en video-intercomsystemen via bekende kwetsbaarheden. Deze activiteiten zijn geïntensiveerd te midden van het aanhoudende conflict in het Midden-Oosten, met name in Israël en verschillende Golfstaten.
De campagne was gericht op het exploiteren van kwetsbaarheden in bewakingsapparatuur van Dahua en Hikvision, waaronder:
- CVE-2017-7921
- CVE-2023-6895
- CVE-2021-36260
- CVE-2025-34067
- CVE-2021-33044
Beveiligingsanalisten zijn van mening dat dergelijke inbreuken de militaire inlichtingendiensten kunnen ondersteunen, waaronder operationele surveillance en schadebeoordeling na raketoperaties. In sommige gevallen kan er voorafgaand aan raketlanceringen worden ingebroken in camera's om te helpen bij het richten of het monitoren van de uitkomst.
Cyberactiviteit als voorloper van kinetische operaties
De gecoördineerde aanvallen op de bewakingsinfrastructuur sluiten aan bij de al langer bestaande inschattingen dat de Iraanse cyberdoctrine digitale verkenning integreert in de bredere militaire planning. Gehackte camera's kunnen realtime visuele inlichtingen en situationeel bewustzijn verschaffen.
Het monitoren van scanactiviteiten en pogingen tot misbruik van camera-infrastructuur die gekoppeld is aan bekende Iraanse cybermiddelen, kan daarom dienen als een vroegtijdig waarschuwingssignaal voor mogelijke daaropvolgende militaire operaties.
Toenemende risico’s op cybervergelding
Het escalerende conflict tussen de Verenigde Staten, Israël en Iran heeft het risico op cybervergeldingsaanvallen vergroot. In reactie op het groeiende dreigingslandschap heeft het Canadian Centre for Cyber Security (CCCS) een waarschuwing uitgegeven dat Iran waarschijnlijk zijn cybercapaciteiten zal inzetten tegen kritieke infrastructuur en beïnvloedings- of informatieoperaties zal uitvoeren om strategische belangen te behartigen.
Deze ontwikkelingen benadrukken de groeiende rol van cyberspace als parallel slagveld tijdens geopolitieke conflicten, waar spionage, verstoring en het vergaren van inlichtingen steeds vaker samengaan met traditionele militaire acties.
