Beobachtungen
Cotton Sandstorm zählt zu den aktivsten und öffentlichkeitswirksamsten iranischen Cybergruppierungen der vergangenen Jahre. Der Akteur hat Bezüge zu den IRGC und ist für seine Hack-and-Leak-Aktionen bekannt. In den Jahren 2020 bis 2024 führte die Gruppe Operationen in den USA, Frankreich, Schweden sowie gegen Ziele im Golfraum durch.
Die Gruppe ist seit mindestens 2020 aktiv und hat sich in dieser Zeit sowohl technisch als auch operativ weiterentwickelt. Ursprünglich primär auf Hack-and-Leak-Kampagnen gegen israelische Organisationen ausgerichtet, hat Cotton Sandstorm seine Zielauswahl ausgeweitet. Mittlerweile zählen auch Medienorganisationen, staatliche Stellen, Sportinfrastruktur und demokratische Wahlprozesse in westlichen Ländern zu den Zielen des Akteurs. Die Verbindung zu staatlichen iranischen Stellen ist durch US-Sanktionen, eine Anklage zweier iranischer Staatsangehörige sowie ein gemeinsames Advisory des FBI, des US-Finanzministeriums und der israelischen Cyber-Behörde (INCD) behördlich bestätigt. Das US-Außenministerium bietet über das Rewards-for-Justice-Programm bis zu zehn Millionen US-Dollar für Hinweise auf Aktivitäten der Gruppe.
Die Gruppe hat mehrfach westliche Staaten und ihre Infrastruktur als Bühne genutzt. Nicht als primäre Feinde, sondern als Mittel zur Erreichung eines übergeordneten narrativen Ziels. Frankreich war 2024 betroffen, Schweden 2023, die USA wiederholt. Dabei ist das unmittelbare technische Schadenspotenzial oft begrenzt. Der eigentliche Schaden entsteht durch Reputationsverlust, Vertrauenserosion und psychologische Wirkung auf Zielgruppen.
Methoden
Das operative Vorgehen von Cotton Sandstorm folgt einem erkennbaren Muster, das in zwei Phasen unterteilt werden kann. Erstens die technische Kompromittierung zur Erlangung von Zugang oder Daten. Zweitens die informationelle Ausnutzung dieser Kompromittierung zur Maximierung psychologischer und narrativer Wirkung. Beide Phasen sind eng verzahnt und werden koordiniert durchgeführt.
Initialzugang und Phishing-Infrastruktur: Der primäre Angriffsvektor ist Spear-Phishing per E-Mail, das auf täuschend echte Behördenimitation setzt. Exemplarisch dokumentiert ist eine Kampagne vom Oktober 2024, in der Cotton Sandstorm E-Mails im Namen der israelischen Nationalen Cyber-Behörde (INCD) versandte und die Empfänger zur Installation eines Chrome-Browser-Updates aufforderten. Die E-Mails wurden von der gefälschten Adresse alert@il-cert[.]net versendet. Die eingebetteten Links leiteten auf die Lookalike-Domain il-cert[.]net um, von der das bösartige MSI-Paket heruntergeladen wurde. Zur Tarnung enthielt das Installationspaket den legitimen Chrome-Installer, schleusten aber zusätzlich die WezRat-Backdoor als Updater.exe ein und sicherten deren Persistenz über einen Run-Registry-Key (MITRE ATT&CK: T1566.002 — Spearphishing Link, T1547.001 — Registry Run Keys).
WezRat — Modularer Infostealer: WezRat ist ein in C++ entwickelter, modularer Infostealer, der von Check Point Research erstmals öffentlich analysiert und Cotton Sandstorm zugeordnet wurde. Das Werkzeug ist seit mindestens August 2023 aktiv und hat in diesem Zeitraum eine signifikante Weiterentwicklung durchlaufen. Die Kernfunktionalitäten umfassen Befehlsausführung auf dem kompromittierten System, Screenshot-Erfassung, Datei-Upload, Keylogging, Extraktion von Zwischenablage-Inhalten sowie den Diebstahl von Chromium-Browser-Cookies. Sicherheitstechnisch bemerkenswert ist die modulare Architektur. Sensible Funktionen wie Screen-Capture, Keylogging und Cookie-Diebstahl werden als separate DLL-Module vom C2-Server nachgeladen, was die Hauptkomponente des Backdoors unauffälliger macht und statische Erkennung erschwert (MITRE ATT&CK: T1003 — OS Credential Dumping via Cookie Theft, T1113 — Screen Capture, T1056.001 — Keylogging). Die C2-Kommunikation erfolgte in frühen Versionen über einen eigenständigen Backend-Server. Ab März 2024 migrierte die Infrastruktur auf Kestrel-basierte Backends. Check Point Research gelangte zur Einschätzung, dass möglicherweise zwei getrennte Teams hinter der Kampagne stehen. Eines für die Malware-Entwicklung und eines für den operativen Betrieb.
Infrastruktur-Verschleierung durch fiktive Hosting-Reseller: Ein seit Mitte 2023 dokumentiertes Infrastruktur-Merkmal von Cotton Sandstorm ist die Nutzung selbst eingerichteter, fiktiver Hosting-Reseller zur Verschleierung der tatsächlichen Betreiberschaft. Die Gruppe richtete unter den Namen Server-Speed (server-speed[.]com) und VPS-Agent (vps-agent[.]net) eigene Zwischenhändler ein, über die sie Server bei europäischen Hostern leasten. Diese Infrastruktur wurde nicht nur für eigene Operationen genutzt, sondern stellte Cotton Sandstorm auch Libanon-basierten Akteuren zur Verfügung, darunter mutmaßlich Unterstützungsleistungen für die HAMAS-affiliierte Website alqassam[.]ps. Beide Reseller-Domains wurden im Zuge von Strafverfolgungsmaßnahmen beschlagnahmt.
Cyber-enabled Information Operations (IO) gegen westliche Ziele: Die technischen Kompromittierungen dienen Cotton Sandstorm systematisch als Grundlage für Informationsoperationen mit westlichem Bezug. Drei besonders gut dokumentierte Operationen illustrieren das Muster. In Schweden hackte die Gruppe Mitte 2023 unter der Persona Anzu Team einen schwedischen SMS-Dienstleister und verbreitete darüber Nachrichten im Kontext der Koran-Verbrennungen, die den schwedischen Behörden erhebliche diplomatische Probleme bereiteten. In den USA verschaffte sich Cotton Sandstorm im Dezember 2023 unter der Persona For-Humanity unbefugten Zugang zu einem US-amerikanischen IPTV-Streaming-Anbieter und sendete über dessen Infrastruktur KI-generierte Propagandabotschaften zum Gaza-Krieg. Im Juli 2024 kompromittierte Cotton Sandstorm kurz vor Eröffnung der Olympischen Sommerspiele in Paris einen französischen Anbieter dynamischer Anzeigetafeln, um israelfeindliche Bildmontagen auf dessen Displays zu projizieren. Parallel dazu wurden Drohbotschaften an israelische Athleten unter der Flagge der gefälschten Rechtsaußen-Gruppe Regiment GUD versendet, die die echte französische Gruppe GUD imitierte. Diese Operation war mit der Veröffentlichung eines gefälschten Nachrichtenartikels auf einer französischen kollaborativen Medienplattform kombiniert (MITRE ATT&CK: T1491.002 — Defacement: External Defacement, T1583 — Acquire Infrastructure).
KI-gestützte Werkzeuge und IP-Kamera-Harvesting: Seit Mitte 2024 setzt Cotton Sandstorm nachweislich KI-gestützte Tools ein, um den IO-Bereich zu skalieren und zu personalisieren. Behördlich dokumentiert sind die Nutzung von Remini AI Photo Enhancer zur Bildverbesserung, Voicemod und Murf AI zur Stimmmodulation sowie Appy Pie zur Bildgenerierung. Ergänzend betrieb die Gruppe ein systematisches Harvesting-Projekt für Inhalte aus IP-Kameras, mutmaßlich zur Aufklärung und zur Ergänzung von Personenidentifikationsprojekten. Dazu zählen der dokumentierte Versuch, israelische Kampfpiloten, UAV-Operateure und Soldaten über Genealogie-Websites zu identifizieren.
WhiteLock-Ransomware als destruktives Zusatzmittel: In manchen Operationen setzte Cotton Sandstorm nach erfolgreicher Kompromittierung die WhiteLock-Ransomware ein. Die Quellenlage legt nahe, dass dies opportunistisch und nicht als primäres Operationsziel erfolgt. Check Point Research weist explizit darauf hin, dass nichts eine Ausweitung dieser Aktivität auf andere Länder verhindert.
Attribution
Die Attribution von Cotton Sandstorm zu staatlichen iranischen Stellen ist im vorliegenden Bedrohungslandschaft ungewöhnlich gut belegt. Mehrere Belege aus behördlichen und IT-Sicherheitsdienstleister-Quellen stützen die Einordnung als IRGC-affiliierter Akteur, der unter wechselnden Unternehmens- und Persona-Identitäten operiert.
Die stärkste behördliche Bestätigung liefert das gemeinsame Advisory des FBI, des US-Finanzministeriums und der israelischen INCD vom 30. Oktober 2024, das den Akteur dem IRGC zuordnet. Diese Zuordnung wird durch frühere Maßnahmen des US-Finanzministeriums gestützt. Mitglieder der Gruppe wurden sanktioniert, zwei iranische Staatsangehörige wurden 2021 durch ein New Yorker Bundesgericht wegen Hacking, Betrug, Wählereinschüchterung und Verschwörung im Zusammenhang mit dem Versuch, die US-Präsidentschaftswahl 2020 zu beeinflussen, angeklagt. Microsoft bestätigt in seinem Digital Defense Report 2024 die Zuordnung zum IRGC und verknüpft Cotton Sandstorm mit dem Großteil der dokumentierten iranischen Cyber-enabled Influence Operations. Trellix weist in seiner Analyse vom März 2026 auf eine Kontinuität der Operationen gegen Israel, die USA, Frankreich und Schweden seit mindestens 2020 hin.
Ein strukturelles Attributionsmerkmal ist der systematische Einsatz von Unternehmensidentitäten als Tarnung. Aus Eeleyanet Gostar wurde Emennet Pasargad, aus Emennet Pasargad wurde Aria Sepehr Ayandehsazan. Jede Umbenennung erfolgte nach erhöhtem Behördendruck oder Strafverfolgungsmaßnahmen. Diese Rebranding-Strategie ist nach Einschätzung von Recorded Future ein bewusstes Strukturmerkmal iranischer Cyber-Contractor-Netzwerke, die als sogenannte Cyber-Zentren organisiert sind und staatliche Aufträge unter wechselnder Unternehmenshülle ausführen, um Sanktionsdurchsetzung zu erschweren.
Als analytische Einschätzung und somit nicht durch die vorliegende Quellenlage explizit belegt, ist die Persona-Strategie von Cotton Sandstorm nicht allein als Mittel der Attributionsvermeidung zu verstehen, sondern auch als operatives Werkzeug zur Zielgruppensegmentierung. Unterschiedliche Personas implizieren eine bewusste Anpassung der Botschaft und der wahrgenommenen Absenderidentität an das jeweilige Zielpublikum. Hypothetisch und durch die Quellenlage nicht abschließend belegt, setzt dies eine Planungsebene voraus, die über spontane Reaktionen auf Einzelereignisse hinausgeht und auf eine koordinierte IO-Strategie hindeutet, die mehrere Zielmärkte parallel bespielt. Belastbare Belege für eine übergeordnete IO-Planungsstruktur liegen in den öffentlich verfügbaren Quellen nicht vor.
Handlungsempfehlungen
Die folgenden Maßnahmen sind auf die spezifischen TTPs und Operationsmuster von Cotton Sandstorm zugeschnitten und ergänzen die übergreifenden Empfehlungen aus unserem Auftakt-Report dieser Serie.
- Behördenimitation als Phishing-Muster erkennen und schulen (Priorität: Hoch).
Cotton Sandstorm imitiert legitime Cyber-Sicherheitsbehörden. Organisationen sollten E-Mail-Gateways so konfigurieren, dass eingehende Nachrichten, die bekannte Behördendomains imitieren, aber von abweichenden Absenderdomains stammen, automatisch geflaggt werden. Mitarbeiterschulungen sollten das spezifische Muster dringlicher Software-Update-Aufforderungen von behördlichen Absendern als Hochrisiko-Indikator behandeln (MITRE ATT&CK-Abwehr zu T1566.002). - WezRat-spezifische Erkennungsmaßnahmen implementieren (Priorität: Hoch).
Der Mutex-Name {FA531CC1-0497-11D3-A180-00105A276C3E}, die Persistence-Registry-Key-Bezeichnung Chrome Updater sowie die C2-Kommunikation über nicht-standardisierte Ports sind Erkennungsmerkmale von WezRat. Endpoint Detection and Response (EDR)-Systeme sollten auf DLL-Sideloading-Versuche aus MSI-Installationspaketen sowie auf ausgehende Verbindungen von Updater.exe-Prozessen zu externen C2-Endpunkten konfiguriert werden. Die bekannten C2-Infrastrukturbereiche können als Threat-Intelligence-Feed in SIEM-Systeme eingespeist werden. - Öffentlichkeitswirksame Infrastruktur besonders schützen (Priorität: Hoch).
Cotton Sandstorm zielt auf Systeme, deren Kompromittierung maximale öffentliche Wahrnehmung erzeugt. Dazu zählen Anzeigetafeln, Streaming-Infrastruktur, SMS-Gateways und IP-Kameras. Organisationen, die solche Systeme betreiben, insbesondere im Umfeld von Großveranstaltungen, demokratischen Wahlen oder öffentlichen Institutionen, sollten diese mit erhöhter Priorität in ihre Analyse einbeziehen. Die Paris-2024-Operation zeigt, dass auch indirekte Betreiber-Ketten (Dienstleister für Anzeigetechnik) angegriffen werden, wenn der direkte Zugang zur Zielinfrastruktur versperrt ist. - IP-Kameras auf Standard-Credentials und Exponierung prüfen (Priorität: Mittel).
Das behördlich dokumentierte systematische Scanning nach öffentlich erreichbaren IP-Kameras durch Cotton Sandstorm macht diese zu einem spezifischen Angriffsvektor. Alle über das Internet erreichbaren IP-Kameras sind auf Standard-Credentials zu prüfen, auf aktuelle Firmware zu aktualisieren und vom öffentlichen Internet zu isolieren. Organisationen im Sicherheits-, Verteidigungs- und Behördenumfeld sollten das Vorfallsszenario einer Kameraübernahme zu Aufklärungszwecken in ihre Threat-Modelle aufnehmen. - IO-Lagebeobachtung für exponierte Organisationen einrichten (Priorität: Mittel).
Da Cotton Sandstorm technische Kompromittierungen regelmäßig mit koordinierten Desinformationskampagnen verknüpft, reicht eine rein technische Verteidigung nicht aus. Organisationen mit hoher öffentlicher Sichtbarkeit oder geopolitischer Relevanz sollten ein Social-Media- und Presse-Monitoring für eigene Markennamen und Führungspersönlichkeiten in ihre Sicherheitsstrategie integrieren, um frühzeitig auf laufende Desinformationsoperationen reagieren zu können.
Hinweis
Dieser Report ist der zweite in der CTI-Serie zu iranischen APT-Akteuren. Unser Auftakt-Report vom 5. Mai 2026 etablierte die institutionelle Zweiteilung des iranischen Cyber-Ökosystems in IRGC- und MOIS-affiliierte Cluster und ordnete Cotton Sandstorm dabei als IRGC-affiliierten Akteur mit IO-Schwerpunkt ein. Der vorliegende Deep Dive konkretisiert diese Einordnung auf Basis der dokumentierten Operationshistorie, des WezRat-Werkzeugprofils sowie der behördlich bestätigten westlichen Zielauswahl. Die übergreifenden Schutzmaßnahmen aus unserem Auftakt-Report sind als komplementäre Grundlage zu den gruppenspezifischen Empfehlungen dieses Reports zu verstehen.