Beobachtungen
Der Iran verfügt über ein staatlich gesteuertes Cyber-Ökosystem, das in seiner Breite und operativen Kohärenz zu den aktivsten weltweit zählt. Dieses Ökosystem ist institutionell zweigeteilt. Auf der einen Seite stehen Gruppierungen unter der Kontrolle der Islamischen Revolutionsgarde (IRGC). Auf der anderen Seite Akteure, die dem Ministerium für Geheimdienste und Sicherheit (MOIS) zugeordnet werden. Beide Säulen verfolgen übergeordnete strategische Ziele des iranischen Staates. Geheimdienstliche Aufklärung, Einflussnahme und in geopolitisch zugespitzten Lagen auch physisch wirkende Disruption. Sie unterscheiden sich jedoch in Zielauswahl, Vorgehensweise und der Intensität ihrer Operationen.
Seit Beginn des eskalierten Konflikts zwischen Iran, den USA und Israel ab Anfang 2026 hat die Intensität iranischer Cyberaktivitäten nachweislich zugenommen. Die US-Behörden CISA, FBI, NSA, das Department of Energy, die EPA sowie das U.S. Cyber Command bestätigten am 7. April 2026 in einem gemeinsamen Advisory (AA26-097A) aktive Kompromittierungen Kritischer Infrastruktur in den Vereinigten Staaten durch iranisch affiliierte APT-Akteure. Darunter Anlagen der Wasser- und Abwasserversorgung, Energieinfrastruktur sowie Regierungseinrichtungen. Opfer erlitten operative Ausfälle und finanzielle Schäden infolge manipulierter Steuerungssysteme.
Check Point Research identifiziert in seinem Überblicksbericht vom 1. März 2026 fünf zentrale Akteurs-Cluster, die im Kontext des laufenden Konflikts als besonders relevant eingestuft werden. Cotton Sandstorm, Educated Manticore, MuddyWater, Void Manticore (auch bekannt unter der Hacktivistenidentität Handala) sowie Agrius. Diese Gruppierungen unterscheiden sich in ihren primären Operationszielen erheblich. Während Cotton Sandstorm und Void Manticore/Handala auf psychologische Wirkung und öffentlichkeitswirksame Hack-and-Leak-Operationen ausgerichtet sind, verfolgen MuddyWater und Educated Manticore ein langfristiges Spionageprofil. Agrius hingegen ist auf destruktive Wirkung durch Wiper-Malware und vorgetäuschte Ransomware-Angriffe spezialisiert.
Der Iran nutzt Cyberoperationen nicht isoliert, sondern als integralen Bestandteil einer Kampagne, die kinetische, politische und informationelle Instrumente kombiniert. Die Angriffsfläche betrifft nicht nur Rüstungs- und Regierungsstellen im Nahen Osten, sondern zunehmend westliche Unternehmen und Kritische Infrastruktur, einschließlich medizinischer Versorgungsketten, Cloud-Infrastruktur und industrieller Steuerungssysteme.
Institutionelle Struktur — Das iranische Cyber-Ökosystem
Das iranische Cyber-Ökosystem ist institutionell zweigeteilt und folgt einer klaren, wenn auch nach außen bewusst verschleierten Aufbaulogik. Das IRGC und das MOIS bilden die beiden staatlichen Säulen, unter deren Dach die identifizierten APT-Cluster operieren. Beide Institutionen teilen das übergeordnete strategische Ziel der Machtprojektion, unterscheiden sich jedoch in Zielauswahl und Operationscharakter. IRGC-affiliierte Gruppen zeigen eine ausgeprägte Neigung zu öffentlichkeitswirksamen Operationen mit kombinierter Cyber- und Informationswirkung. MOIS-assoziierte Akteure sind traditionell auf langfristige Geheimdienstaufklärung und auf destruktive Effekte ausgerichtet.
Dem IRGC zuzuordnen sind nach aktuellem Quellenstand Cotton Sandstorm sowie Educated Manticore, das dem nachrichtendienstlichen Arm der IRGC zugeordnet wird und funktionale Überschneidungen mit den Clustern APT35 und APT42 (auch bekannt als Charming Kitten, TA453) aufweist. Dem MOIS zugeordnet sind MuddyWater (auch bekannt als Mango Sandstorm, Static Kitten), Void Manticore sowie Agrius (auch bekannt als Pink Sandstorm, Agonizing Serpens). Die Zuordnungssicherheit variiert zwischen den Clustern. Für MuddyWater und Agrius besteht eine über mehrere IT-Sicherheitsdienstleister- und Behördenquellen konsistent belegte MOIS-Affilierung. Bei Educated Manticore ist eine vollständige Clusterabgrenzung gegenüber verwandten IRGC-Clustern auf Basis der verfügbaren Quellenlage nicht abschließend möglich.
Ein Charakteristikum des iranischen Ökosystems ist die Nutzung von Hacktivistenidentitäten als Deckmantel für staatlich gesteuerte Operationen. Void Manticore tritt öffentlich unter der Persona Handala Hack Team auf. Cotton Sandstorm reaktivierte im Kontext des laufenden Konflikts die seit über einem Jahr inaktive Persona Altoufan Team. Dieses Muster dient der Verschleierung staatlicher Urheberschaft und der Erzeugung eines scheinbar ideologisch motivierten, dezentralen Eindrucks. Der Fall CyberAv3ngers illustriert, wie weit diese Strategie reicht und wie konsequent sie angewendet wird.
Als analytische Einschätzung, nicht durch die vorliegende Quellenlage explizit belegt, ist davon auszugehen, dass die operative Koordination zwischen IRGC- und MOIS-affiliierten Clustern in Eskalationsphasen enger ist, als die institutionelle Trennung beider Dienste vermuten lässt. Die beobachtete zeitliche Synchronisation zwischen kinetischen Ereignissen und Cyber-Reaktionen sowie strukturelle Ähnlichkeiten in der genutzten Infrastruktur legen eine Koordinationsebene nahe, die über individuelle Cluster hinausgeht. Die vorliegende Quellenlage erlaubt hierzu jedoch keine abschließende Aussage. Detaillierte Attributionsanalysen folgen in den jeweiligen Deep-Dive-Reports.
Handlungsempfehlungen
Die nachfolgenden Empfehlungen adressieren übergreifende Angriffsmuster, die das gesamte iranische Cyber-Ökosystem kennzeichnen. Sie sind bewusst nicht auf einzelne Cluster zugeschnitten. Die gruppenspezifische Ableitung von Schutzmaßnahmen folgt in den Deep-Dive-Reports. Priorisiert werden Maßnahmen, die das gemeinsame Fundament iranischer Operationen treffen. Dazu zählen Credential-Zugang, Persistenz über legitime Infrastruktur und psychologische Wirkungsverstärkung durch Datenpublikation.
- Phishing-resistente MFA flächendeckend durchsetzen (Priorität: Kritisch).
MFA-Bypass ist das dokumentierte Querschnittsmerkmal aller fünf Cluster und durch CISA behördlich bestätigt. FIDO2-basierte oder zertifikatsbasierte Verfahren sind App-basierten Push-Lösungen vorzuziehen. Diese Einzelmaßnahme reduziert die Wirksamkeit des gesamten iranischen Erstangriffsspektrums erheblich. - Exponierte Angriffsfläche systematisch reduzieren (Priorität: Hoch).
Internetexponierte Webserver, industrielle Steuerungssysteme, IP-Kameras, RMM-Endpunkte und Cloud-Management-Oberflächen (MDM, Entra ID, Exchange Online) sind auf Standard-Credentials, bekannte Schwachstellen und Fehlkonfigurationen zu prüfen. Systeme ohne nachgewiesenen Remotezugang-Bedarf sind vom Internet zu trennen. Der CISA-Advisory AA26-097A benennt konkrete betroffene PLC-Modelle und empfohlene Härtungsmaßnahmen für OT-Umgebungen. - Unsolicited Outreach als Hochrisikoindikator klassifizieren (Priorität: Hoch).
Mehrere der identifizierten Cluster setzen auf Erstkontakt über täuschend echte Personas via E-Mail, Messaging-Plattformen und professionelle Netzwerke. Organisationen mit Außenkontakten in Forschung, Technologie, Medien und Politik sollten unaufgeforderte Kontaktanfragen als potenzielle Credential-Phishing-Vektoren behandeln und entsprechende Awareness-Maßnahmen implementieren. - Incident-Response-Bereitschaft für destruktive Szenarien validieren (Priorität: Mittel).
Das iranische Ökosystem umfasst mehrere Akteure mit nachgewiesener Wiper- und Pseudo-Ransomware-Kapazität. Organisationen mit Bezug zu Kritischer Infrastruktur, Gesundheitsversorgung oder Rüstung sollten Playbooks für destruktive Angriffe auf Aktualität prüfen. Angesichts der steigenden Angriffszahlen ist eine erhöhte Eigenverantwortung bei der Incident-Response-Vorbereitung geboten.