RadioCSIRT – Deutsche Ausgabe

In dieser Folge: die Cyber-Dimension des Iran-Konflikts — eine sechswöchige Retrospektive von den ersten Angriffen am 28. Februar bis zum fragilen Waffenstillstand vom 9. April 2026, mit einer vollständigen Analyse der Entwicklung iranischer und pro-iranischer Cyber-Operationen — von den ersten Hacktivist-DDoS-Wellen bis zur bestätigten Ausbeutung industrieller Steuerungssysteme innerhalb der Vereinigten Staaten.


Am 28. Februar 2026 starteten die Vereinigten Staaten und Israel gemeinsame Militärschläge gegen iranische strategische Ziele im Rahmen der Operationen Epic Fury und Roaring Lion. Innerhalb von Stunden geschahen im Cyberspace zwei Dinge gleichzeitig: Irans inländische Internetkonnektivität brach auf zwischen einem und vier Prozent der normalen Kapazität ein, und eine koordinierte mehrvektorielle Cyber-Gegenoffensive wurde gestartet — eine Kombination aus staatlichen APT-Operationen und einer Koalition aus über sechzig Hacktivistengruppen. In den ersten zweiundsiebzig Stunden wurden mehr als 149 Angriffsreklamationen gegen 110 verschiedene Organisationen in sechzehn Ländern registriert. Zwei Gruppen machten siebzig Prozent des gesamten DDoS-Volumens aus: Keymous Plus, das auf GCC-Regierungen und Finanzinstitute abzielte, und DieNet, das die Flughäfen Bahrain und Sharjah, Riyadh Bank, Bank of Jordan und die Infrastruktur der VAE traf. Parallel dazu führte APT34/OilRig aktive Credential-Harvesting-Kampagnen gegen regionale Telekommunikations- und Regierungsinstitutionen durch, mit bestätigter Ausnutzung von CVE-2026-22719 — einer CVSS-8.1-Befehlsinjektions-Schwachstelle ohne Authentifizierungsanforderungen in VMware Aria Operations, die am 4. März in den CISA-KEV-Katalog aufgenommen wurde. MuddyWater führte die Operation Olalampo gegen IT-Anbieter in der META-Region durch. UNC1549 operierte gegen Ziele in den Bereichen Verteidigung, Luft- und Raumfahrt sowie Telekommunikation. APT35 und APT42 führten Cloud-Credential-Theft-Kampagnen gegen M365- und Google-Workspace-Umgebungen durch. In der ersten Woche trat eine Supply-Chain-Dimension zutage: Staatliche Akteure begannen, Schadcode in beliebte npm- und PyPI-Pakete zu injizieren, der nur innerhalb von Produktions-CI/CD-Pipelines aktiviert wird, mit KI-generiertem Code zur Umgehung konventioneller Erkennungstools. Am 31. März wurde die npm-Bibliothek axios — über eine Milliarde monatliche Downloads — über den Diebstahl von Maintainer-Anmeldedaten kompromittiert. Die schadhaften Versionen 1.14.1 und 0.30.4 enthielten eine versteckte Abhängigkeit, plain-crypto-js 4.2.1, die ein Post-Install-Dropper ausführte und einen plattformübergreifenden RAT für Windows, macOS und Linux einsetzte. Jede Entwicklungsumgebung, die axios während des Kompromittierungsfensters installiert oder aktualisiert hat, sollte als potenziell betroffen behandelt werden.


Ebenfalls am 31. März bezeichnete die IRGC formal westliche Technologie- und Finanzunternehmen als legitime Ziele für Vergeltungsoperationen, wirksam ab dem 1. April. Zu den genannten Zielen gehören Cisco, HP, Intel, Oracle, Microsoft, Apple, Google, Meta, IBM, Dell, Nvidia und Palantir im Technologiesektor — alle als hohes Bedrohungsniveau eingestuft — JPMorgan Chase im Finanzbereich sowie Boeing und General Electric in der Verteidigungs- und Industriebranche. Diese Einstufung verwandelte die Bedrohung von opportunistischer Hacktivist-Aktivität in eine erklärte Targeting-Haltung gegen namentlich genannte westliche Entitäten. Die operativ bedeutsamste Eskalation ereignete sich am 8. April 2026. Das FBI, CISA, NSA, EPA, das Energieministerium und USCYBERCOM veröffentlichten ein gemeinsames Advisory, das die aktive Ausnutzung von speicherprogrammierbaren Steuerungen in amerikanischen Wasser-, Abwasser-, Energie- und Behördensektoren durch mit Iran verbundene APT-Akteure bestätigte, mit bestätigten Betriebsstörungen und finanziellen Verlusten. Zu den Zielgeräten gehören Rockwell Automation CompactLogix und Micro850 PLCs, wobei die Aktivitäten auf eine mögliche Ausweitung auf Siemens-S7-Geräte hindeuten. Akteure griffen auf internetexponierte PLCs über Auslandsinfrastrukturen und Rockwells Studio 5000 Logix Designer zu, manipulierten Projektdateien und HMI/SCADA-Displays. Dies ist keine Einschätzung — es ist ein bestätigtes gemeinsames Regierungs-Advisory mit bestätigten operativen Auswirkungen. Der Übergang von DDoS und Datenexfiltration zur bestätigten OT/PLC-Exploitation mit operativen Konsequenzen stellt eine qualitative Eskalation des Bedrohungsniveaus dar, die jeder Industriebetreiber sofort in seine Verteidigungshaltung integrieren muss.


Zu den Erkennungsprioritäten: alle npm- und PyPI-Installationen auf die kompromittierten axios-Versionen und die plain-crypto-js-Abhängigkeit prüfen. Den IOC-Satz des FBI/CISA/NSA-Advisories vom 8. April in SIEM- und EDR-Plattformen integrieren, mit erweiterter Überwachung von SCADA- und ICS-Systemen sowie internetexponierter OT-Verbindungen auf den Ports 44818, 2222, 102, 22 und 502. Für Unternehmensumgebungen: APT34-DNS-Hijacking und APT35/42-Cloud-Credential-Theft bleiben aktiv — M365- und Google-Workspace-Umgebungen auf anomale Authentifizierungsmuster überwachen. Jede Organisation, die in der IRGC-Einstufung vom 31. März namentlich genannt wird, sollte diese Bedingung als bestätigte erhöhte Bedrohung behandeln, nicht als Hintergrundrisiko. Quellen


CISA – Joint advisory AA26-097A: Iranian-affiliated cyber actors exploit programmable logic controllers across US critical infrastructure : https://www.cisa.gov/news-events/cybersecurity-advisories/aa26-097a Cybersecurity Dive – Iran-linked hackers target water and energy in US, FBI and CISA warn : https://www.cybersecuritydive.com/news/iran-linked-hackers-targeting-water-energy-in-us-fbi-and-cisa-warn/816949/ Security Affairs – US agencies alert: Iran-linked actors target critical infrastructure PLCs : https://securityaffairs.com/190485/apt/u-s-agencies-alert-iran-linked-actors-target-critical-infrastructure-plcs.html


Nicht nachdenken, patchen!


Ihr Feedback ist willkommen. E-Mail: radiocsirt@gmail.com Website:https://www.radiocsirt.com/de Wöchentlicher Newsletter:https://radiocsirtgermanedition.substack.com/

Am 14. April 2026 veröffentlicht Microsoft seinen monatlichen Sicherheits-Update-Zyklus. Dieser Patch Tuesday verdient die direkte Aufmerksamkeit jedes Patch-Management-Teams und jedes Operations-Teams, das Windows-Infrastruktur betreibt. Der maximale Schweregrad ist kritisch. Die primäre Auswirkung ist Remote Code Execution. Die betroffene Angriffsfläche umfasst gleichzeitig die am weitesten verbreiteten Plattformen in Unternehmensumgebungen: alle aktiven Windows-11-Versionen, die gesamte noch unterstützte Windows-Server-Reihe von 2016 bis 2025, Remote Desktop Services, Microsoft Office und die .NET-Laufzeitumgebung. Dreizehn Produktfamilien werden in diesem Zyklus in drei Deployment-Prioritätsstufen adressiert.


Sieben Familien sind als Priorität eins eingestuft — sofortige Bereitstellung. Windows 11, alle aktiven Versionen — 23H2, 24H2, 25H2 und 26H1 — erhalten kritische Patches mit Remote-Code-Execution-Auswirkung. Windows Server 2025, 2022, 2019 und 2016 folgen demselben Muster: alle als kritisch eingestuft, alle mit Remote-Code-Execution-Auswirkung, alle Priorität eins. Remote Desktop Services landen ebenfalls bei kritischem Schweregrad mit Remote-Code-Execution-Auswirkung und verdienen besondere Aufmerksamkeit über das Standard-Priorität-eins-Label hinaus. Die Ausnutzungshistorie von RDS-Schwachstellen ist gut dokumentiert — BlueKeep und DejaBlue im Jahr 2019, beide wurmfähig, beide innerhalb von Wochen nach der Offenlegung aktiv ausgenutzt. Jede Einheit, die RDS über das Internet oder über VPN-Konzentratoren exponiert, sollte diese Komponente als dringlichstes Element in diesem Zyklus behandeln. Microsoft Office ist Priorität eins mit kritischem Schweregrad — der Exploit-Vektor ist konsistent Phishing, der dominante initiale Zugangsvektors in Kampagnen gegen den Finanzsektor. Der .NET- und .NET-Framework-Eintrag ist kritisch mit Denial-of-Service-Auswirkung: eine kritisch bewertete Schwachstelle in .NET kann jede Anwendung oder jeden Webdienst, der auf diesen Laufzeitumgebungen läuft, zum Absturz bringen oder unverfügbar machen — ein direktes Verfügbarkeitsrisiko, das remote ausgelöst werden kann.


Drei Familien sind Priorität zwei — Bereitstellung innerhalb von sieben Tagen: SQL Server mit wichtigem Schweregrad und Remote-Code-Execution-Auswirkung, SharePoint mit wichtigem Schweregrad und Spoofing-Auswirkung sowie Azure-Komponenten mit wichtigem Schweregrad und Elevation-of-Privilege-Auswirkung. Drei Familien sind Priorität drei — Standardzyklus: Visual Studio, Dynamics 365 und System Center, alle als wichtig eingestuft.


Darüber hinaus führt dieser April-Zyklus eine Änderung der Kernel-Treiber-Vertrauensdurchsetzung für Windows 11 24H2, 25H2, 26H1 und Windows Server 2025 ein: Systeme werden Legacy-cross-signierte Treiber nicht länger als pauschalen Vertrauenspfad behandeln. Umgebungen mit Abhängigkeiten von älteren nicht signierten Treiber-Binärdateien sollten ihr Treiber-Inventar vor der Bereitstellung überprüfen. Alle Windows-11- und Windows-Server-Updates in diesem Zyklus sind kumulativ. Die detaillierte CVE-Offenlegung und CVSS-Scores werden ab dem 14. April im Microsoft Security Response Center verfügbar sein.


Quellen


Help Net Security – April 2026 Patch Tuesday forecast: spring cleaning of a preview : https://www.helpnetsecurity.com/2026/04/10/april-2026-patch-tuesday-forecast/ Zecurit – Patch Tuesday April 2026: security updates and CVE analysis : https://zecurit.com/endpoint-management/patch-tuesday/ Microsoft Security Response Center – Security Update Guide : https://msrc.microsoft.com/update-guide/


Nicht nachdenken, patchen!


Ihr Feedback ist willkommen. E-Mail: radiocsirt@gmail.com Website:https://www.radiocsirt.com/de Wöchentlicher Newsletter:https://radiocsirtgermanedition.substack.com/

Am 7. April 2026 veröffentlichte Gen Threat Labs, die Forschungsabteilung von Gen Digital, eine detaillierte technische Analyse von Remus, einem neuen 64-Bit-Infostealer, der der Lumma-Stealer-Familie zugeschrieben wird. Aktive Kampagnen mit Remus wurden seit Februar 2026 beobachtet — unmittelbar nach einer Doxxing-Kampagne zwischen August und Oktober 2025, die die mutmaßlichen Kernmitglieder der Lumma-Organisation entblößte und deren Betrieb erheblich störte. Remus ist kein Ersatz für Lumma — beide Familien koexistieren derzeit in freier Wildbahn — sondern eine bewusste Evolution, die höchstwahrscheinlich aus einem Fork oder einer Rebranding-Operation hervorgegangen ist, die während der Phase maximalen externen Drucks auf die ursprüngliche Gruppe eingeleitet wurde.


Der von Gen Threat Labs aufgebaute Attributionsfall stützt sich auf sechs technische Indikatoren, die eine Codebasis-Kontinuität belegen. Der markanteste ist der Application-Bound-Encryption-Bypass für Chromium-Browser: Sowohl Lumma als auch Remus injizieren einen kompakten Shellcode in den Browserprozess, um den v20_master_key direkt im Speicher zu lokalisieren und CryptUnprotectMemory aus dem Prozesskontext des Browsers heraus aufzurufen. Der Unterschied zwischen beiden Implementierungen beträgt elf Bytes — 51 Bytes bei Remus gegenüber 62 bei Lumma. Dieses Niveau an Implementierungsparallelismus ist nicht zufällig. Weitere gemeinsame Indikatoren umfassen nahezu identische String-Verschleierung über Stack-Assembly und MBA-verstärkte Entschlüsselungsschleifen, direkten Syscall-Dispatch über Laufzeit-ntdll-Hash-zu-SSN-Lookup-Tabellen, identische AntiVM-CPUID-Prüfungen gegen fünf Hypervisor-Signaturen in gleicher Reihenfolge, eine gemeinsame Crypter-Präsenzprüfung über NtRaiseHardError sowie überlappende Kontrollfluss-Verschleierungsmuster. Die Attributionskette wird durch Übergangsbuild-Sets namens Tenzor verankert, kompiliert am 16. September 2025 — auf dem Höhepunkt der Störungsperiode — die sowohl einen Steam-Dead-Drop-Resolver aus bestätigten Lumma-Samples als auch Artefakte enthalten, die ausschließlich Remus zuzuordnen sind.


Die operativ bedeutsamste Evolution in Remus ist die Aufgabe von Steam- und Telegram-Dead-Drop-Resolvern zugunsten von EtherHiding. Zur Laufzeit sendet Remus eine JSON-RPC-eth_call-Anfrage an eine hartkodierte Ethereum-Smart-Contract-Adresse über einen öffentlichen RPC-Endpunkt und extrahiert die C2-URL aus der hex-kodierten Antwort. Die dezentralisierte und unveränderliche Natur der Blockchain macht diese Infrastruktur effektiv resistent gegen traditionelle Takedown-Verfahren. Remus führt zusätzlich zwei Anti-Analyse-Prüfungen vor jedem C2-Verbindungsversuch ein: Sandbox-DLL-Erkennung über CRC32-Hashing geladener Modulnamen gegen elf bekannte Sandbox-DLL-Hashes sowie Honeypot-PST-Erkennung über die Enumeration eines spezifischen Outlook-PST-Dateinamens. Schlägt eine der Prüfungen an, terminiert die Binärdatei lautlos über ExitProcess null.


Zur Erkennung: Überwachung auf JSON-RPC-eth_call-Anfragen an öffentliche Ethereum-Endpunkte, die von Workstations ausgehen — anomales Verhalten mit einer sehr geringen Falschpositivrate. Überwachung auf versteckte Desktop-Erstellung über CreateDesktopW kombiniert mit Browser-Prozessstart. Einsatz der von SOCPrime veröffentlichten Remus-spezifischen Erkennungsregeln für direkten Syscall-Einsatz, API-Hashing und Stealth-Ausführungsartefakte. Jede Organisation, die Steam- oder Telegram-Dead-Drop-Blocking als Lumma-Erkennungssignal verwendet hat, sollte diese Kontrollmaßnahme als veraltet betrachten.


Quellen


Gen Digital – Remus: Unmasking the 64-bit variant of the infamous Lumma Stealer : https://www.gendigital.com/blog/insights/research/remus-64bit-variant-of-lumma-stealer GBHackers – Remus infostealer debuts with stealthy new credential-theft tactics : https://gbhackers.com/remus-infostealer-debuts/ CyberPress – Remus infostealer emerges with credential theft and advanced evasion tricks : https://cyberpress.org/remus-infostealer-emerges-fast/


Nicht nachdenken, patchen!


Ihr Feedback ist willkommen. E-Mail: radiocsirt@gmail.com Website:https://www.radiocsirt.com/de Wöchentlicher Newsletter:https://radiocsirtgermanedition.substack.com/

Seit Februar 2026 führt eine neue Ransomware-Gruppe unter dem Namen Payload aktive Double-Extortion-Kampagnen gegen Organisationen aus verschiedenen Sektoren und Regionen durch. In weniger als zwei Monaten beobachteter Aktivität hat die Gruppe sechsundzwanzig Opfer in sieben Ländern gemeldet, 2.603 Gigabyte exfiltrierter Daten deklariert und ein technisches Niveau demonstriert, das sie weit über opportunistische Ransomware-Operationen hinaushebt. Die Kombination aus ESXi-spezifischer Verschlüsselungslogik, ETW-Patching und einer von Beginn an voll funktionsfähigen Tor-basierten Infrastruktur deutet entweder auf erfahrene Betreiber oder auf Zugang zu einem ausgereiften Toolkit hin.


Payload betreibt zwei verschiedene Binärdateien, die ein gemeinsames kryptographisches Schema verwenden: Curve25519 ECDH kombiniert mit ChaCha20 für die Schlüsselgenerierung pro Datei. Die ESXi-Variante ist eine Linux-ELF64-Binärdatei von etwa 39.904 Bytes. Strings sind RC4-verschleiert mit dem Drei-Byte-Schlüssel FBI. Vor jeder Verschlüsselungsaktivität führt die Binärdatei eine Anti-Debug-Prüfung über /proc/self/status durch und analysiert dann VMwares vmInventory.xml, um alle Datastores und VMDK-Pfade zu enumerieren. Virtuelle Maschinen werden über vim-cmd ausgeschaltet, bevor die Verschlüsselung beginnt. Thread-Pool-Worker tragen den Namen FBIthread-pool — ein forensisches Artefakt, das in der Standardprozessauflistung sichtbar ist. Die Lösegeldforderung ersetzt die ESXi-Webverwaltungsschnittstelle unter /usr/lib/vmware/hostd/docroot/ui/welcome.txt.


Die Windows-Variante, kompiliert am 17. Februar 2026, leitet sich aus der Babuk-Codebasis ab, die im September 2021 geleakt wurde, wobei HC-128 durch ChaCha20 ersetzt und erhebliche Anti-Forensik-Ergänzungen vorgenommen wurden. Zu den wichtigsten Fähigkeiten gehört das ETW-Patching von vier ntdll.dll-Funktionen — EtwEventWrite, EtwEventWriteFull, EtwEventWriteTransfer und EtwRegister — wodurch EDR-Lösungen, die auf ETW-Telemetrie angewiesen sind, lautlos geblendet werden. Der Mutex MakeAmericaGreatAgain ist ein zuverlässiger Betreiber-Fingerabdruck. Die Binärdatei beendet vierunddreißig Dienste, darunter Veeam, Acronis, BackupExec, Symantec und Sophos, löscht Windows-Ereignisprotokolle, entfernt Schattenkopien und löscht sich selbst über einen NTFS Alternate Data Stream, ohne einen Child-Prozess zu erzeugen.


Zur Erkennung: Einsatz der von Abdullah Islam veröffentlichten YARA-Regel für die ESXi-Variante. Überwachung auf den Mutex MakeAmericaGreatAgain, die Erweiterung .payload und ETW-Funktionspatches in ntdll.dll. Jeder EDR-Stack, der ausschließlich auf ETW-basierter Telemetrie beruht, sollte umgehend überprüft werden. ESXi-Management-Schnittstellen müssen hinter einem dedizierten Management-VLAN betrieben werden. Unveränderlicher oder air-gapped Backup-Speicher bleibt der einzig zuverlässige Wiederherstellungspfad, wenn die Verschlüsselung vor der Erkennung abgeschlossen wird.


Quellen


GBHackers – Payload ransomware hits Windows and ESXi with Babuk-style encryption : https://gbhackers.com/payload-ransomware/ CyberSecurityNews – New Payload ransomware uses Babuk-style encryption against Windows and ESXi systems : https://cybersecuritynews.com/new-payload-ransomware-uses-babuk-style-encryption/ CyberPress – Payload hits Windows and ESXi : https://cyberpress.org/payload-hits-windows-esxi/


Nicht nachdenken, patchen!


Ihr Feedback ist willkommen. E-Mail: radiocsirt@gmail.com Website:https://www.radiocsirt.com/de Wöchentlicher Newsletter:https://radiocsirtgermanedition.substack.com/