Ende Mai haben niederländische Ermittler der Financial Crime investigation of Netherlands (FIOD) in Rechenzentren bei Dronten und Schiphol-Rijk rund 800 Server beschlagnahmt. Das Ziel war der Hosting-Anbieter WorkTitans B.V., der auf den ersten Blick wie jedes andere Unternehmen für Internetinfrastruktur aussah. Was die Ermittler jedoch aufdeckten, war weitaus bedeutender: eine Operation, die auf sanktionierter Infrastruktur aufbaute und stillschweigend als Rückgrat für einige der aktivsten Cyberspionagekampagnen des Iran diente.
Die Geschichte beginnt ein Jahr zuvor. Im Mai 2025 verhängte die EU Sanktionen gegen Stark Industries, einen Internetdienstanbieter, der mit russischen Operationen zur Informationskriegsführung in Verbindung stand. Anstatt den Betrieb einzustellen, führten die Drahtzieher einfach eine Umfirmierung durch. WorkTitans trat als Nachfolger auf und betrieb angeblich dieselben Server unter einem neuen Firmennamen. Es war ein dreister Schachzug, und eine Zeit lang funktionierte er.
Drei Gruppen und ein Hosting-Anbieter
Die Aufdeckung dieser Geschichte verrät viel darüber, wie moderne Cyberoperationen tatsächlich funktionieren. Drei separate iranische Hackergruppen, von denen jede ihre eigenen Kampagnen gegen unterschiedliche Ziele durchführte, nutzten alle die Infrastruktur von WorkTitans, um ihre Ziele zu erreichen.
Basierend auf unserer Nachverfolgung der Infrastruktur der Bedrohungsakteure hatte die Abschaltung von WorkTitans wahrscheinlich Auswirkungen auf iranische Cyberoperationen. Drei separate iranische Bedrohungsgruppen, die jeweils eigene Kampagnen gegen unterschiedliche Ziele führten, wurden dabei beobachtet, wie sie die Infrastruktur von WorkTitans für zentrale operative Zwecke nutzten.
- MuddyWater ist eine iranische Bedrohungsgruppe, die dem Ministerium für Geheimdienst und Sicherheit (MOIS) angehört und von Check Point Research seit Jahren genau verfolgt wird. Unsere früheren Untersuchungen dokumentierten BugSleep, eine maßgeschneiderte Backdoor, die von der Gruppe entwickelt und in Phishing-Kampagnen eingesetzt wurde, die sich in erster Linie gegen israelische Organisationen richteten. MuddyWater verschafft sich in der Regel den ersten Zugriff über Phishing-E-Mails, die von kompromittierten Unternehmenskonten versendet werden, und nutzte in der Vergangenheit legitime Fernverwaltungstools wie Atera Agent und ScreenConnect, um die Persistenz aufrechtzuerhalten. In neueren Kampagnen ersetzte BugSleep diese Tools als bevorzugtes Implantat, wobei die WorkTitans-Server als Command-and-Control-Backbone dienten.
- Agrius, auch als UNC2428 bekannt, ist eine mit dem Iran verbundene Gruppe, die im Rahmen einer Social-Engineering-Kampagne zum Thema Stellenangebote eine als MURKYTOUR bekannte Backdoor verbreitet hat. Wie von Google Threat Intelligence dokumentiert, führte die Gruppe eine Kampagne durch, bei der sie sich als israelischer Rüstungskonzern ausgab und Ziele mit einem scheinbar legitimen Bewerbungsprozess lockte. Opfer, die Interesse bekundeten, wurden auf eine überzeugende gefälschte Website weitergeleitet und aufgefordert, ein Tool namens RafaelConnect.exe herunterzuladen, ein Installationsprogramm, das die Forscher LONEFLEET nannten. Nach dem Start zeigte es eine realistische Benutzeroberfläche an, die die Nutzer aufforderte, persönliche Daten einzugeben und einen Lebenslauf hochzuladen, während im Hintergrund unbemerkt eine Backdoor namens MURKYTOUR installiert wurde. Diese Backdoor kommunizierte über die WorkTitans-Infrastruktur.
-
Nimbus Manticore verfolgt ebenfalls einen auf Personalbeschaffung ausgerichteten Ansatz, operiert jedoch mit einer breiteren Zielgruppe und konzentriert sich auf Personen aus den Bereichen Luft- und Raumfahrt sowie Verteidigung. Die Gruppe erreicht ihre Opfer über gefälschte Personalvermittlerprofile auf LinkedIn und eigens eingerichteten Jobportalen und veranlasst sie schließlich dazu, ein ZIP-Archiv herunterzuladen, das legitim erscheint, aber eine bösartige DLL enthält. Das Ausführen des Köders löst das Side-Loading der DLL aus und verschafft den Angreifern Fernzugriff, die Möglichkeit zum Diebstahl von Anmeldedaten sowie einen Fuß in der Tür für laterale Bewegungen. Nimbus Manticore zeichnet sich zudem dadurch aus, dass es seine Infrastruktur kontinuierlich über mehrere VPS-Anbieter hinweg wechselt, darunter WorkTitans, um seine Kampagnen schwerer nachverfolgen und blockieren zu können.
Was diese Beschlagnahmung besonders bemerkenswert macht, ist, dass eine einzige Strafverfolgungsmaßnahme gegen einen Hosting-Anbieter ausreichte, um gleichzeitig mehrere aktive Operationen zu stören, die jeweils auf unterschiedliche Sektoren abzielten und unterschiedliche Techniken nutzten, aber alle dieselbe Abhängigkeit von der zugrunde liegenden Infrastruktur teilten.
Die eigentliche Erkenntnis geht über die Schlagzeile hinaus. Jahrelang haben sich Verteidiger auf einzelne IP-Adressen konzentriert und bekannte böswillige Akteure Adresse für Adresse markiert. Doch die Angreifer haben schon vor langer Zeit herausgefunden, dass sie diesem Ansatz einfach dadurch einen Schritt voraus sein können, dass sie IPs rotieren lassen oder sich hinter legitim wirkenden Anbietern verstecken.
Was der Fall WorkTitans unmissverständlich deutlich macht, ist, dass die Hosting-Umgebung selbst das Signal ist. Eine einzelne IP-Adresse mag sauber aussehen, während das Netzwerk, zu dem sie gehört, wiederholt wegen des Hostings von Phishing-Kits, Malware und Scan-Infrastruktur markiert wurde. Dieses Muster, das durch ASN-Reputationsanalysen, passive DNS-Verlaufsdaten und Missbrauchsberichte sichtbar wird, ist oft ein viel früheres Warnsignal als jede einzelne IP-Markierung.
Die Folgen für die Bedrohungslage
Die Organisationen, die am besten in der Lage sind, solche Bedrohungen zu erkennen, sind diejenigen, die über punktuelle IP-Abfragen hinausgegangen sind und begonnen haben, die Infrastruktur ganzheitlich zu bewerten. So sieht das in der Praxis aus:
- IP-Adressen ihrer Hosting-Umgebung zu ordnen. Sicherheitsteams müssen das ASN, den Netzblock und die Organisation hinter jeder verdächtigen Quelle identifizieren und beurteilen, ob diese zu einem legitimen Anbieter oder einem risikoreichen Reseller-Netzwerk gehört.
- ASN-Reputation bewerten, nicht nur einzelne IPs. Wiederholte Missbrauchsmuster über viele Adressen innerhalb desselben ASN hinweg sind ein stärkeres Signal als jede einzelne markierte IP.
- Den passiven DNS-Verlauf überprüfen. Sichehreitsteams sollten auf hohe Domain-Fluktuation, neu registrierte oder zufällig benannte Domains sowie Phishing- oder Malware-Infrastrukturen achten, die mit dem IP-Bereich in Verbindung stehen.
- Eigenen Protokolle auf Verhaltenssignale überprüfen. Scan-Aktivitäten, Brute-Force-Versuche, Credential Stuffing und Exploit-Probing von einer VPS-Quelle sind allesamt Warnsignale, die eine weitere Untersuchung rechtfertigen.
- Anonymisierende Infrastruktur mit größerer Wachsamkeit behandeln. Authentifizierungsversuche, die von bekannten VPNs, Proxys oder Tor-Exit-Knoten stammen, verdienen eine genauere Betrachtung, unabhängig davon, ob die IP-Adresse selbst markiert wurde.
- Anomalien bei der Geolokalisierung markieren. Unerwartete Cloud-Regionen oder unmögliche Bewegungsmuster sind eine Untersuchung wert, auch wenn sie für sich genommen keine böswillige Absicht bestätigen.
Sergey Shykevich, Group Manager Threat Intelligence bei Check Point Research, drückt es so aus: „Die Beschlagnahmung von WorkTitans zeigt, wie permissive Hosting-Umgebungen still und leise zu einer gemeinsamen Infrastruktur für mehrere staatlich geförderte Akteure werden, die völlig unabhängig voneinander agieren. Die Lehre für Verteidiger betrifft nicht nur diese spezifischen Gruppen – sie lautet vielmehr, dass der Ruf eines einzelnen Hosting-Anbieters ein zuverlässigeres Bedrohungssignal sein kann als jede einzelne IP-Adresse. Wenn man IPs nur isoliert bewertet, verpasst man den Gesamtzusammenhang.“
Fazit
Die Beschlagnahmung von WorkTitans war ein Erfolg für die Strafverfolgungsbehörden. Sie hat aber auch deutlich gemacht, dass die hartnäckigsten Cyberbedrohungen selten von einem einzigen Schwachpunkt abhängen. Sie nutzen die Lücken zwischen dem, was Verteidiger einzeln überprüfen, und dem, was sie gemeinsam übersehen. Die Schließung dieser Lücken ist der Punkt, an dem die eigentliche Arbeit beginnt.
