Beobachtungen
Agrius ist ein dem iranischen Staat zugeordneter Cyber-Akteur, der seit 2020 Angriffe mit Schwerpunkt auf israelische und emiratische Ziele durchführt. Der Akteur tarnt seine Angriffe als Ransomware-Vorfälle ohne dass eine ernsthafte Lösegeldabsicht besteht. Er verbindet diese Angriffe mit der Veröffentlichung gestohlener Daten, um Druck zu erzeugen und die öffentliche Wahrnehmung zu beeinflussen.
Im Zuge des zwölftägigen Krieges zwischen Israel und Iran im Juni 2025 beobachtet Check Point Research Agrius zugeordnete Infrastruktur, die in Israel aktiv nach angreifbaren Kameras suchte. Mutmaßlich zur nachgelagerten Lagebild- und Schadensbewertung.
Methoden
Den initialen Zugang erlangt Agrius über die Ausnutzung verwundbarer, aus dem Internet erreichbarer Webserver (T1190). Auf den kompromittierten Servern hinterlegt der Akteur Webshells. Diese sind in vorgeblichen Zertifikatstextdateien verborgen und werden erst bei Bedarf in eine ausführbare ASPX-Datei dekodiert (T1505.003). Für ihre Angriffe nutzt der Akteur kommerzielle VPN-Infrastruktur (T1090).
Nach der Ausführung der Webshells nutzt Agrius weitgehend öffentlich verfügbare Werkzeuge sowie bordeigene Windows-Mittel zur Aufklärung, lateralen Bewegung, Zugangsdatenbeschaffung und Exfiltration. Unit 42 dokumentiert den Einsatz eines Kommandozeileninterpreters zur System- und Netzwerkaufklärung (T1059), die Netzwerkkartierung mittels SoftPerfect Network Scanner (T1046), die Beschaffung von Anmeldeinformationen unter anderem über ProcDump (T1003) sowie die Datensammlung aus Datenbankservern über ein maßgeschneidertes Extraktionswerkzeug. Die gesammelten Daten wurden mit 7-Zip archiviert, im Windows-Temporärverzeichnis bereitgestellt (T1074) und über Tools wie WinSCP, PuTTY/Plink und FileZilla abgezogen.
Am Ende des Angriffs folgen destruktive Maßnahmen. Unit 42 verzeichnet die neuartigen Wiper MultiLayer, PartialWasher und BFG Agonizer. MultiLayer überschreibt bzw. löscht Dateien und macht den Bootsektor unbrauchbar (T1485; T1561.002). In früheren Operationen setzte der Akteur die als Ransomware getarnte Schadsoftware Apostle, deren Nachfolger Fantasy sowie die in C++ geschriebene MoneyBird-Familie ein, die von legitimen Filehosting-Diensten nachgeladen wurde (T1105). SentinelLabs beschreibt darüber hinaus den Einsatz der .NET-Backdoor IPsec Helper. Unit 42 verzeichnet ferner gezielte Anstrengungen zur Umgehung von Endpoint-Detection-and-Response-Lösungen. Die Suche nach verwundbaren Kameras während des Junikriegs 2025 entspricht einem aktiven Schwachstellen-Scanning exponierter Systeme (T1595.002).
Attribution
Sowohl Check Point Research als auch Palo Alto Networks Unit 42 ordnen Agrius einem iranischen, staatlich gestützten Akteur zu. Bemerkenswert ist die Entwicklung der Attributionssicherheit über die Zeit.
Die frühe Analyse von SentinelLabs (2021) konnte keine belastbare Verbindung zu bekannten Gruppen herstellen. Sie stützte den iranischen Bezug lediglich auf Indizien wie die Korrelation mit iranischen Interessen und die lange iranische Tradition des Wiper-Einsatzes seit Shamoon.
Die spätere, technisch tiefere Berichterstattung von Check Point Research und Unit 42 verfestigte die Zuordnung über wiederkehrende, gruppenspezifische Verfahren. Insbesondere die in Zertifikatstextdateien versteckten Webshells. Als analytische Einschätzung, nicht durch die vorliegende Quellenlage explizit belegt, erscheint Agrius innerhalb des MOIS-Ökosystems als weitgehend eigenständig operierender Akteur. Er beschafft sich seinen Erstzugang selbst, statt auf einen vorgelagerten Zugangsvermittler angewiesen zu sein.
Handlungsempfehlungen
Internet-exponierte Webserver und Webanwendungen sind konsequent zu patchen, auf hinterlegte ASPX-Webshells zu prüfen und insbesondere auf in Textdateien getarnte dekodierte Skriptinhalte hin zu untersuchen. Ebenso dringlich ist die Härtung exponierter Geräte wie IP-Kameras und sonstiger IoT-Systeme gegen Standardanmeldedaten und ältere bekannte Schwachstellen, da diese sowohl als Einstiegs- als auch als Aufklärungsziel dienen.
Auf Netzwerkebene empfiehlt sich die Überwachung von Verkehr aus kommerziellen VPN-Ausgangsknoten, namentlich ProtonVPN, da dieses Einfallstor für den Akteur charakteristisch ist. Detektionsseitig sind die nachfolgenden Spuren aussagekräftig: der Einsatz von ProcDump zur Zugangsdatenbeschaffung, Netzwerkscans mittels SoftPerfect Network Scanner, Datenarchivierung im Temporärverzeichnis sowie Exfiltration über WinSCP, PuTTY/Plink und FileZilla.
Da der Akteur seine Angriffe als Verschlüsselung tarnt, ist jeder vermeintliche Ransomware-Vorfall bis zum Beweis des Gegenteils als potenziell datenvernichtend zu behandeln. Die Resilienz hängt entsprechend an offline und unveränderlich gehaltenen Sicherungen einschließlich der Wiederherstellbarkeit des Bootsektors. Schließlich ist das Nachladen ausführbarer Inhalte von legitimen Filehosting-Diensten als Auffälligkeit zu werten und in der Überwachung zu berücksichtigen.
Hinweis
Dieser Report ist der letzte in der CTI-Serie zu iranischen APT-Akteuren und schließt unsere Serie über das iranische Cyber-Ökosystem ab. Unser Auftakt-Report vom 5. Mai 2026 führte Educated Manticore als IRGC-IO-affiliierten Cluster mit Social-Engineering-Schwerpunkt ein und grenzte ihn von den MOIS-assoziierten Gruppen ab.