Beobachtungen
Void Manticore ist dem iranischen Ministerium für Nachrichtenwesen und Sicherheit (MOIS) zugeordnet. Die Gruppe ist auf Wiper-Angriffe in Verbindung mit koordinierten Informationsoperationen spezialisiert. Sie operiert unter mehreren öffentlich sichtbaren Personas. „Handala Hack“ als aktive Hauptmarke seit Ende 2023. „Karma“ als nunmehr weitgehend abgelöste israelgerichtete Vorgängeridentität. „Homeland Justice“ als weiterhin aktive Persona für Operationen gegen Albanien. Die Nutzung von Karrikaturmotiven und politisch aufgeladener Bildsprache ist fester Bestandteil des Wirkungsdesigns.
Seit dem Ausbruch des Gaza-Kriegs im Oktober 2023 weitet Void Manticore Angriffsfrequenz und Zielspektrum aus. Israelische Organisationen aus Industrie, Technologie, Versorgung und Lokalverwaltung bilden den Primärfokus. Im März 2026 dokumentiert Check Point Research erstmals bestätigte Angriffe gegen US-amerikanische Unternehmen, darunter den Medizintechnikkonzern Stryker. Parallel dazu laufen Homeland-Justice-Operationen gegen albanische Regierungsstellen weiter. Zuletzt im Dezember 2023 und Anfang 2024 gegen staatliche Institutionen.
Der Akteur wählt bei seinen Operationen einen kombinierten Ansatz. Zerstörte Daten und Systeme werden mit gestohlenen und veröffentlichten Dokumenten sowie politisch konnotierten Botschaften verknüpft. Dadurch wird Druck auf Zielorganisationen und deren Umfeld ausgeübt. Die Persona Handala referenziert bewusst die gleichnamige palästinensische Karikaturfigur. Dies unterstreicht die Einbettung der Operationen in einen politisch-symbolischen Narrativrahmen. Check Point Research beobachtet dabei eine zunehmende Verschlechterung der operativen Sicherheitsdisziplin des Akteurs. Seit Anfang 2026 wurden wiederholt direkte Verbindungen aus iranischen IP-Adressen zu Zielnetzen dokumentiert. Dies deutet auf Kapazitätsdruck unter den andauernden Kriegsbedingungen hin.
Methoden
- Initialer Zugang (T1133, T1078.002, T1199, T1110).
Void Manticore gewinnt Erstzugang überwiegend über kompromittierte VPN-Zugangsdaten von IT-Dienstleistern und Serviceprovidern. Sie dienen als Supply-Chain-Einstiegspunkt. Check Point Research dokumentiert für 2025/2026 hunderte Anmelde- und Brute-Force-Versuche gegen organisationseigene VPN-Infrastruktur. Sie gehen von kommerziellen VPN-Knoten aus und tragen typischerweise Default-Hostnamen im Format DESKTOP-XXXXXX oder WIN-XXXXXX. In neueren Vorfällen griff die Gruppe auch auf Starlink-IP-Bereiche für die C2-Kommunikation zurück. - Kooperationsmuster mit Scarred Manticore („One-Two Punch“).
Check Point Research dokumentiert ein systematisches Übergabeverfahren zwischen Scarred Manticore und Void Manticore. Scarred Manticore hält über lange Zeiträume verdeckt Zugang zu einem Zielnetzwerk, betreibt E-Mail-Exfiltration und bereitet die Übernahme vor. Anschließend übergibt der Akteur Webshell-Zugang sowie Domain-Admin-Credentials an Void Manticore, das mit einfacheren aber wirkungsorientierten Werkzeugen die destruktive Phase einleitet. Das Muster wurde in Albanien (2022) und Israel (2023/2024) beobachtet. - Lateral Movement (T1021.001, T1572).
Innerhalb kompromittierter Netzwerke bewegt sich Void Manticore primär über Remote Desktop Protocol (RDP) von System zu System. Für Hosts, die nicht direkt von außen erreichbar sind, wurde im März 2026 erstmals der Einsatz von NetBird dokumentiert. Die Angreifer laden die Software direkt von der offiziellen NetBird-Website herunter. Anschließend installieren sie NetBird manuell auf mehreren kompromittierten Maschinen. Dadurch bauen sie ein internes Zero-Trust-Netz für koordinierte Wiper-Aktivitäten auf. - Credential-Harvesting (T1003.001, T1003.002, T1087.002).
In der Vorbereitungsphase werden umfangreiche Credential-Extraktionen durchgeführt. Dazu zählen LSASS-Dumping über rundll32.exe und comsvcs.dll, Export sensibler Registry-Hives (HKLM) sowie Active-Directory-Enumeration mit ADRecon (dra.ps1). Auch der Einsatz von Windows-Bordmitteln (LOLBins) wie wmic.exe für Fernzugriff auf Shadow-Copies ist dokumentiert. - Destruktive Werkzeuge: Wiper-Arsenal (T1561.002, T1485, T1486, T1484.001, T1037.003).
Void Manticore setzt in der Zerstörungsphase typischerweise vier Techniken parallel ein. Diese sind via Gruppenrichtlinie (GPO) über das gesamte Netzwerk verteilt. Der Handala Wiper (handala.exe / handala.bat) kombiniert dateibasiertes Überschreiben mit MBR-Partition-Wiping. Er wird als Scheduled Task vom Domain Controller aus gestartet ohne auf den Zielsystemen auf Disk geschrieben zu werden. Ein eigenentwickeltes PowerShell-Wiper-Skript löscht rekursiv alle Inhalte aus den Benutzerverzeichnissen und füllt den freien Speicher mit Kopien einer Datei, um die Wiederherstellung zu erschweren. VeraCrypt wird eingesetzt, um Systemlaufwerke mit angreiferkontrollierten Keys zu verschlüsseln. Damit wird auch bei Teilversagen der Wiper eine Wiederherstellung verhindert. Ergänzend führen die Angreifer manuelle Löschungen über RDP-Sitzungen durch. - Historisches Wiper-Arsenal.
Die Vorgänger-Werkzeuge sind für das Verständnis der Werkzeug-Kontinuität analytisch relevant: Der CLWiper (erstmals in Albanien 2022, durch FBI/CISA-Advisory AA22-264A dokumentiert) nutzt den legitimen ElRawDisk-Treiber (rwdsk.sys) für Festplattenzugriff. Der verwendete Lizenzschlüssel ist identisch mit dem des ZeroCleare-Wipers, der mehrfach MOIS-nahen Akteuren zugeordnet wird. Partition-Wiper der Varianten LowEraser, Pinky und JustMBR löschen die Partitionstabelle via IOCTL_DISK_DELETE_DRIVE_LAYOUT und erzeugen einen BSOD beim Neustart. Der BiBi-Wiper überschreibt Dateiinhalte mit Zufallsdaten, löscht Shadow Copies und deaktiviert Windows-Fehlerwiederherstellung. Aktuellere BiBi-Varianten integrieren zudem die Partition-Wiper-Logik, was die Konvergenz des Werkzeugsets belegt. - Untergrundkontakte.
Check Point Research verweist im März-2026-Report auf die Nutzung von Cybercrime-Services durch Void Manticore. Dies ergänzt das Bild eines Akteurs, der staatlich gesteuert ist, aber pragmatisch auf kommerziell verfügbare Ressourcen des cyberkriminellen Ökosystems zurückgreift.
Attribution
Die Zuordnung von Void Manticore zum iranischen MOIS ist durch mehrere unabhängige Quellen belegt. Das FBI und die CISA haben im gemeinsamen Advisory AA22-264A vom September 2022 die Homeland-Justice-Operationen gegen Albanien explizit iranischen staatlichen Cyberakteuren zugeordnet. Microsoft verfolgt den Akteur als Storm-0842 und hat die Koordination mit Storm-0861 (Scarred Manticore) in Angriffen gegen Albanien und Israel öffentlich dokumentiert. Check Point Research bestätigt und erweitert diese Zuordnung über mehrere Berichte, mit technischen Überlappungsnachweisen auf Werkzeug-, Code- und Opfernetzwerk-Ebene.
Öffentliche Berichte assoziieren Void Manticore mit der MOIS-Abteilung Innere Sicherheit. Konkret mit deren Abteilung für Terrorismusbekämpfung unter der Leitung von Seyed Yahya Hosseini Panjaki. Panjaki wurde nach Medienberichten beim israelischen Angriff auf Iran Anfang März 2026 getötet. Diese Verbindung stützt die institutionelle Zuordnung, ist jedoch auf der Basis öffentlicher Quellen nicht abschließend verifiziert. Als analytische Einschätzung, nicht durch die vorliegende Quellenlage explizit belegt, deutet die beobachtete Verschlechterung der operativen Sicherheitsdisziplin ab Januar 2026 darauf hin, dass der Verlust von Führungspersonal die operationelle Kohärenz des Akteurs beeinträchtigt haben könnte. Diese Einschätzung gründet auf der zeitlichen Nähe der dokumentierten OPSEC-Fehler (direkte iranische IPs, Starlink-Exposition) mit dem mutmaßlichen Personalverlust.
Die Persona-Struktur des Akteurs ist analytisch klar. Karma und Handala teilen Code-Überlappungen und wurden in einigen Vorfällen parallel genutzt. Karma als opferseitiger Kommunikationskanal, Handala als Datenleck-Plattform. Dies spricht für eine gemeinsame Organisation. Homeland Justice weist identische TTP-Strukturen auf, agiert aber geographisch separiert auf den albanischen Operationsschauplatz. Die Persona-Übernahme von Karma durch Handala als dominante Öffentlichkeitsidentität passt in das Bild einer einzigen Gruppenstruktur.
Handlungsempfehlungen
- MFA für Fernzugangsdienste als Priorität 1.
Der primäre Angriffsvektor von Void Manticore sind kompromittierte VPN-Zugangsdaten, häufig aus Supply-Chain-Quellen. Die Einführung phishing-resistenter Multi-Faktor-Authentifizierung für alle VPN-, SSO- und Fernzugriffskomponenten ist die wirkungsstärkste Maßnahme. Bis zur vollständigen MFA-Einführung sollte zugriffsseitig auf bekannte Unternehmensgeräte und -geolocations eingeschränkt werden. - Geographische Zugriffsrestriktion und Starlink-Monitoring.
Check Point Research empfiehlt, eingehende Verbindungen aus Iran auf Perimeter- und Fernzugangsebene zu blockieren oder mit erhöhten Authentifizierungsanforderungen zu belegen. Starlink-IP-Bereiche (188.92.255.X und 209.198.131.X) sollten gesondert überwacht oder temporär eingeschränkt werden. Die kommerzielle VPN-IP-Range 169.150.227.X ist als bekannte Handala-Egress-Range in Erkennungsregeln aufzunehmen. - RDP-Härtung und NetBird-Monitoring.
Void Manticore ist ein manuell operierender Akteur, dessen Lateral-Movement-Methode nahezu vollständig auf RDP basiert. Nicht betrieblich erforderliche RDP-Verbindungen sind zu deaktivieren. Es sollte aktiv nach RDP-Zugriffen von Default-Hostnamen (DESKTOP-XXXXXX, WIN-XXXXXX) außerhalb der Betriebszeiten gesucht werden. Der Einsatz von NetBird und ähnlichen Zero-Trust-Mesh-VPN-Lösungen ist durch Softwareinstallationsüberwachung (Application Whitelisting) zu erkennen. - GPO-Integrität und Domain-Controller-Überwachung.
Die Wiper-Verteilung über Group Policy Objects (GPO) ist ein signifikantes, detektierbares Angriffsmuster (T1484.001). Änderungen an GPO-Konfigurationen und Logon-Skripten sollten in Echtzeit überwacht und nur über dedizierte, privilegierte Management-Workstations möglich sein. Domain-Controller-Aktivität außerhalb definierter Wartungsfenster ist mit erhöhter Alarmpriorität zu behandeln. - Backup-Isolation und Wiederherstellungstests.
Das parallele Wiper-Arsenal von Void Manticore ist darauf ausgelegt, auch redundante Wiederherstellungsmaßnahmen zu unterlaufen. Shadow Copies werden aktiv gelöscht. Resiliente Backups müssen netzwerkisoliert und offline gesichert werden. Regelmäßige Wiederherstellungstests sind obligatorisch, da die Wiederherstellungszeit im Ernstfall entscheidend ist. - Drittanbieter-Zugang überprüfen.
Die Nutzung von IT-Dienstleistern und Serviceprovidern als initialen Zugangspunkt ist eines der Merkmale von Void Manticore. Alle externen Zugangsberechtigungen sollten einem regelmäßigen Audit unterzogen und auf das notwendige Minimum beschränkt werden. Für Drittanbieter mit Netzwerkzugang gelten dieselben MFA-Anforderungen wie für interne privilegierte Nutzer.
Hinweis
Dieser Report ist der fünfte in der CTI-Serie zu iranischen APT-Akteuren. Unser Auftakt-Report vom 5. Mai 2026 führte Educated Manticore als
IRGC-IO-affiliierten Cluster mit Social-Engineering-Schwerpunkt ein und grenzte ihn von den MOIS-assoziierten Gruppen ab.