APT35 kartografierte Ziele vor Angriffen im Voraus

Der aktuelle Threat-Intelligence-Bericht des Sicherheitsunternehmens CloudSEK zeichnet ein beunruhigendes Bild moderner Konfliktführung: Cyberoperationen dienen nicht mehr nur der Begleitung militärischer Aktionen, sondern offenbar der gezielten Vorbereitung kinetischer Angriffe. Im Fokus steht die iranische Gruppe APT35, auch bekannt unter Namen wie Charming Kitten oder Phosphorus.

Cyberaufklärung als Vorbereitung militärischer Schläge

Laut Analyse hatten sämtliche Staaten, die ab dem 28. Februar 2026 als Antwort auf die Operation Epic Fury angegriffen wurden, bereits zuvor im Fokus von APT35 gestanden. Dazu zählen Jordanien, die Vereinigten Arabischen Emirate, Saudi-Arabien, Kuwait, Bahrain, Katar sowie Israel.

Die Muster sind auffällig: In mehreren Fällen wurden Regierungsstellen, Luftfahrtinfrastrukturen und Energieunternehmen nicht nur ausgespäht, sondern teilweise kompromittiert. Besonders Jordanien sticht hervor, wo unter anderem das Justizministerium und zivile Luftfahrtsysteme betroffen waren. Auch in Saudi-Arabien fanden sich Hinweise auf Zugriffe auf strategisch relevante Dokumente.

CloudSEK bewertet die Übereinstimmung zwischen früher Cyberaufklärung und späteren Angriffszielen als zu konsistent, um zufällig zu sein. Zwar gibt es keinen endgültigen Beweis für eine direkte Weitergabe von Cybererkenntnissen an militärische Einheiten, doch vieles deutet auf eine systematische Vorbereitung des Gefechtsfeldes hin.

Tiefe Einblicke durch geleakte Daten

Grundlage der Analyse ist ein umfangreicher Datensatz, der unter dem Namen KittenBusters bekannt wurde. Dieser liefert seltene Einblicke in Werkzeuge, Infrastruktur und Finanzströme der Gruppe. So konnten unter anderem Quellcodes der Schadsoftware-Familien BellaCiao und Sagheb Remote Access Trojan identifiziert werden.

Darüber hinaus deuten die Daten darauf hin, dass vermeintlich getrennte Akteure wie Moses Staff oder Al Qassam Cyber Fighters Teil eines größeren, koordinierten Ökosystems sind. Die Zuordnung führt direkt zur iranischen Revolutionsgarde, konkret zu einer Nachrichtendiensteinheit innerhalb der Organisation.

Cyberangriffe laufen bereits parallel

Die Bedrohung ist nicht theoretisch. Laut Bericht sind bereits mehrere iranisch unterstützte Gruppen aktiv. Dazu zählen unter anderem Handala Hack, Cyber Islamic Resistance sowie weitere bekannte Akteure wie APT33 und CyberAv3ngers.

Ziel dieser Operationen sind längst nicht nur militärische Einrichtungen. Besonders gefährdet sind zivile und wirtschaftlich kritische Systeme wie Flughäfen, Häfen, Telekommunikation, Finanznetzwerke und industrielle Steueranlagen.

Neue Realität für Verteidiger

Die zentrale Erkenntnis des Berichts ist strategisch brisant: Cyberoperationen sind integraler Bestandteil moderner Konflikte und beginnen lange vor der ersten Rakete. Unternehmen und Behörden müssen daher davon ausgehen, dass Angreifer ihre Netzwerke bereits kennen – inklusive Schwachstellen, Lieferketten und interner Abläufe.

Für Verteidiger bedeutet das einen Paradigmenwechsel. Es reicht nicht mehr, auf Angriffe zu reagieren. Gefordert sind proaktive Maßnahmen wie die systematische Suche nach persistenter Schadsoftware, die Überprüfung privilegierter Zugänge sowie die Absicherung exponierter Systeme. Konkret fordert CloudSEK Organisationen – insbesondere in den Golfstaaten, Israel, Jordanien sowie angrenzenden Bereichen mit kritischer Infrastruktur – zu folgenden Abwehrmaßnahmen auf:

• Schließen von Sicherheitslücken in öffentlich erreichbaren Systemen, insbesondere bei bekannten und aktiv ausgenutzten Schwachstellen
• Überprüfung von Microsoft Exchange, VPN-Zugängen und webbasierten Systemen auf mögliche Kompromittierungen
• Aktive Suche nach Webshells, verdächtigen Tunnelwerkzeugen und Schadsoftware-Indikatoren im Zusammenhang mit APT35
• Regelmäßiger Wechsel privilegierter Zugangsdaten sowie Kontrolle administrativer Berechtigungen
• Analyse von Systemen in Luftfahrt, Energie, Telekommunikation, Logistik und Industrie auf ungewöhnliche Aktivitäten
• Blockieren bekannter Kompromittierungsindikatoren und Überprüfung, ob vorhandene Sicherheitslösungen die im Bericht genannten Schadsoftware-Familien zuverlässig erkennen

Handlungsdruck steigt weiter

CloudSEK warnt, dass die aktuelle Lage als hochkritisch einzustufen ist. Weitere Cyberangriffe im Kontext der geopolitischen Eskalation gelten als wahrscheinlich. Auch wenn einzelne Aspekte der Analyse noch nicht vollständig verifiziert sind, zeichnet sich ein klares Bild ab: Die Grenze zwischen digitalem und physischem Krieg verschwimmt zunehmend – mit weitreichenden Konsequenzen für die Cybersicherheit weltweit.