ZURÜCK ZU NACHRICHTEN
Eilmeldung

CRESCENTHARVEST: Spionagekampagne setzt RAT gegen Unterstützer iranischer Proteste ein

2 Min. LesezeitQuelle: The Hacker News

Die Acronis Threat Research Unit deckt die Cyber-Spionagekampagne CRESCENTHARVEST auf, die seit Januar 2026 RAT-Malware gegen Unterstützer der Proteste im Iran einsetzt. Erfahren Sie mehr über Risiken und Schutzmaßnahmen.

CRESCENTHARVEST-Kampagne setzt RAT-Malware gegen Unterstützer iranischer Proteste ein

Forscher der Acronis Threat Research Unit (TRU) haben eine hoch entwickelte Cyber-Spionagekampagne namens CRESCENTHARVEST aufgedeckt, die gezielt Unterstützer der anhaltenden Proteste im Iran ins Visier nimmt. Die Operation, die seit mindestens 9. Januar 2026 aktiv ist, zielt darauf ab, einen Remote Access Trojaner (RAT) für Datendiebstahl und langfristige Überwachung einzusetzen.

Technische Details

Obwohl vollständige technische Indicators of Compromise (IOCs) noch nicht öffentlich bekanntgegeben wurden, bestätigte die Acronis TRU, dass die Kampagne RAT-Malware nutzt, um persistenten Zugriff auf kompromittierte Systeme zu erlangen. RATs ermöglichen es den Angreifern:

  • Sensible Daten zu exfiltrieren (z. B. Dokumente, Anmeldedaten, Kommunikationsdaten)
  • Überwachung durch Keylogging, Bildschirmaufnahmen oder Zugriff auf Mikrofon und Webcam durchzuführen
  • Langfristige Persistenz für anhaltende Spionageaktivitäten aufrechtzuerhalten

Die gezielte Auswahl von Unterstützern der iranischen Proteste deutet auf einen staatlich unterstützten oder politisch motivierten Akteur hin, obwohl die genaue Zuordnung noch unbestätigt bleibt. Die Infrastruktur und Taktiken der Kampagne entsprechen den Methoden fortgeschrittener persistenter Bedrohungen (APT), die auf Heimlichkeit und Datenexfiltration setzen.

Auswirkungen der Kampagne

Die CRESCENTHARVEST-Kampagne birgt erhebliche Risiken für die betroffenen Personen, darunter:

  • Verletzung der Privatsphäre: Offenlegung persönlicher Kommunikation, Kontakte und protestbezogener Aktivitäten.
  • Schwächen in der operativen Sicherheit (OPSEC): Kompromittierte Geräte könnten Protestnetzwerke, Strategien oder Identitäten anderer Unterstützer preisgeben.
  • Physische Sicherheitsrisiken: In repressiven Regimen geht digitale Überwachung häufig Verhaftungen oder Schikanen voraus.

Für Organisationen mit Verbindungen zum Iran oder regionalen Advocacy-Gruppen unterstreicht diese Kampagne die Notwendigkeit erhöhter Wachsamkeit gegenüber gezielter Spionage.

Empfehlungen

Sicherheitsteams und gefährdete Personen sollten folgende Maßnahmen ergreifen:

  1. Endpoint-Schutz verbessern: Einsatz fortschrittlicher Bedrohungserkennungstools, die RAT-Verhalten identifizieren können (z. B. ungewöhnlicher Netzwerkverkehr, unautorisierte Prozessausführung).
  2. IOCs überwachen: Abwarten weiterer Details von Acronis TRU oder anderen Threat-Intelligence-Anbietern und Abwehrmaßnahmen entsprechend anpassen.
  3. OPSEC-Best Practices anwenden: Nutzung verschlüsselter Kommunikation, Vermeidung der Speicherung sensibler Daten auf privaten Geräten und Trennung protestbezogener Aktivitäten vom alltäglichen digitalen Gebrauch.
  4. Sicherheitsschulungen durchführen: Nutzer über Phishing-Risiken, Social Engineering und Anzeichen einer RAT-Infektion aufklären (z. B. verlangsamte Systemleistung, unerwartete Pop-ups).

Die Acronis TRU setzt ihre Untersuchungen zur Kampagne fort und wird Updates bereitstellen, sobald weitere IOCs und Angriffsvektoren identifiziert werden.

Teilen

TwitterLinkedIn