Dindoor bakdörr
Forskning om hotinformation har avslöjat bevis på en iransk statsallierad cyberoperation som framgångsrikt etablerat sig i nätverken hos flera organisationer över hela Nordamerika. Bland de berörda enheterna finns banker, flygplatser, ideella organisationer och den israeliska filialen av ett mjukvaruföretag som betjänar försvars- och flygindustrin.
Kampanjen har tillskrivits MuddyWater, även känt som Seedworm, en hotgrupp associerad med Irans underrättelse- och säkerhetsministerium (MOIS). Utredare bedömer att operationen inleddes i början av februari 2026. Nätverksaktivitet kopplad till kampanjen dök upp kort efter militära attacker utförda av USA och Israel mot Iran, vilket tyder på en potentiell geopolitisk utlösare bakom cyberaktiviteten.
Särskild uppmärksamhet verkar ha riktats mot den israeliska divisionen av den berörda mjukvaruleverantören. Företaget levererar lösningar till flera industrier, inklusive försvar och flygindustrin, vilket gör det till ett strategiskt värdefullt mål för underrättelseinsamling och potentiell störning.
Innehållsförteckning
Dindoor: En nyligen identifierad bakdörr som utnyttjar Deno
Säkerhetsanalytiker som granskade intrången identifierade en tidigare odokumenterad bakdörr som heter Dindoor. Skadlig programvara använder JavaScript-körtiden Deno som en del av sin exekveringsmiljö, en relativt ovanlig teknik som kan hjälpa skadlig programvara att undvika upptäckt i traditionella säkerhetsövervakningssystem.
Attackerna mot programvaruleverantören, en amerikansk bankinstitution och en kanadensisk ideell organisation verkar ha fungerat som ingångspunkter för att installera denna bakdörr.
Bevis på försök till dataexfiltrering identifierades också. Utredarna observerade användningen av verktyget Rclone för att överföra information från det komprometterade mjukvaruföretagets miljö till en molnlagringsplats på Wasabi. Vid tidpunkten för analysen var det fortfarande oklart om dataexfiltreringsförsöket i slutändan lyckades.
Fakeset-bakdörr visas i ytterligare komprometterade nätverk
En separat skadlig kodkomponent, känd som Fakeset, skriven i Python, upptäcktes i nätverken hos en amerikansk flygplats och en annan ideell organisation. Denna bakdörr hämtades från infrastruktur kopplad till Backblaze, en USA-baserad leverantör av molnlagring och säkerhetskopiering.
Den skadliga nyttolasten signerades digitalt med ett certifikat som tidigare har kopplats till två andra familjer av skadlig kod, Stagecomp och Darkcomp, båda historiskt kopplade till MuddyWater-verksamhet.
Hotforskare har identifierat exempel på skadlig kod som bär följande signaturer kopplade till MuddyWater-ekosystemet:
- Trojan:Python/MuddyWater.DB!MTB
- Bakdörr.Python.MuddyWater.a
Även om Stagecomp och Darkcomp själva inte upptäcktes på de komprometterade nätverk som undersöktes i denna utredning, tyder återanvändningen av samma digitala certifikat starkt på inblandning från samma hotaktör, vilket förstärker tillskrivningen till Seedworm.
Utöka iranska cyberkapaciteter och social ingenjörskonst
Iranska cyberhotsaktörer har avsevärt förbättrat sin operativa förmåga under senare år. Deras utveckling och verktyg för skadlig kod har blivit mer sofistikerade, vilket möjliggör mer smygande beständighet och effektivare lateral förflyttning inom offrens nätverk.
Lika anmärkningsvärt är utvidgningen av deras människofokuserade attackstrategier. Iranska operatörer har demonstrerat alltmer avancerade sociala ingenjörskonstmetoder, inklusive mycket riktade spear-phishing-kampanjer och långsiktiga "honeyfall"-operationer utformade för att bygga förtroende hos intresserade individer. Dessa taktiker används ofta för att få kontoåtkomst eller utvinna känslig information.
Övervakning genom sårbara kameror
Parallella utredningar har avslöjat att andra Iran-kopplade hotgrupper aktivt undersöker internetanslutna övervakningsenheter. En sådan aktör, Agrius, även känd under aliasen Agonizing Serpens, Marshtreader och Pink Sandstorm, har observerats söka efter sårbar videoövervakningsinfrastruktur.
Forskare dokumenterade utnyttjandeförsök riktade mot Hikvision-kameror och videoporttelefonsystem genom kända sårbarheter. Dessa aktiviteter har intensifierats mitt i den pågående konflikten i Mellanöstern, särskilt i Israel och flera Gulfstater.
Kampanjen har fokuserat på att utnyttja sårbarheter som påverkar övervakningsutrustning från Dahua och Hikvision, inklusive:
- CVE-2017-7921
- CVE-2023-6895
- CVE-2021-36260
- CVE-2025-34067
- CVE-2021-33044
Säkerhetsanalytiker tror att sådana kompromisser kan stödja militär underrättelseinsamling, inklusive operativ övervakning och bedömning av stridsskador (BDA) relaterade till missiloperationer. I vissa fall kan kameraintrång ske före missiluppskjutningar för att underlätta inriktning eller övervakning av resultat.
Cyberaktivitet som en föregångare till kinetiska operationer
Den samordnade målinriktningen av övervakningsinfrastruktur överensstämmer med långvariga bedömningar att iransk cyberdoktrin integrerar digital spaning i bredare militär planering. Komprometterade kameror kan ge visuell information i realtid och situationsmedvetenhet.
Följaktligen kan övervakning av skanningsaktivitet och utnyttjandeförsök mot kamerainfrastruktur kopplad till kända iranska cybertillgångar fungera som en tidig varningssignal för potentiella uppföljande kinetiska operationer.
Stigande risker för cyberrepressalier
Den eskalerande konflikten mellan USA, Israel och Iran har ökat risken för cyberrepressalier. Som svar på det växande hotbilden har Canadian Centre for Cyber Security (CCCS) utfärdat en varning om att Iran sannolikt kommer att utnyttja sina cyberkapaciteter mot kritisk infrastruktur och genomföra påverkans- eller informationsoperationer för att främja strategiska intressen.
Denna utveckling belyser cyberrymdens växande roll som ett parallellt slagfält under geopolitiska konflikter, där spionage, störningar och underrättelseinsamling i allt högre grad åtföljer traditionella militära handlingar.
