Cavern Manticore: Iranische Hacker-Gruppe attackiert israelische IT-Dienste
Veröffentlicht: 07.07.2026 um 14:26 Uhr, Redaktion boerse-global.de
Die von Check Point Research am Montag enthüllte Gruppierung mit dem Namen Cavern Manticore nutzt ein hochentwickeltes, modulares Schadsoftware-Framework, das selbst erfahrene Sicherheitsexperten vor Herausforderungen stellt.
Tarnkappen-Technik: Drei Kompilierungsvarianten erschweren die Erkennung
Das als Cavern oder Cav3rn bezeichnete Framework basiert auf der .NET-Plattform und setzt auf eine modulare Architektur. Die Angreifer können dadurch gezielt einzelne Werkzeuge nachladen, ohne das gesamte Schadprogramm preiszugeben. Besonders raffiniert: Die Gruppe verwendet drei verschiedene Kompilierungsformate – Mixed-Mode C++/CLI, Native AOT und das Standard-.NET-Framework. Das macht eine automatisierte Erkennung durch Virenscanner nahezu unmöglich.
Sicherheitsanalysten berichten, dass viele der entdeckten Schadproben auf Plattformen wie VirusTotal kaum oder gar nicht erkannt wurden. Die Kommunikation mit den Steuerungsservern (C2) läuft über die Bibliothek n-HTCommp.dll – verschlüsselt per HTTPS und WebSockets. Eine der identifizierten C2-Domains, hospitalinstallation[.]com, wurde offenbar über den iranischen Hosting-Anbieter Fars Data registriert.
Immer mehr Unternehmen werden Opfer von hochkomplexen Cyberangriffen, die herkömmliche Sicherheitssoftware oft unbemerkt umgehen. Dieser kostenlose Ratgeber hilft Ihnen dabei, Ihr Unternehmen proaktiv abzusichern und potenzielle Bedrohungen frühzeitig zu erkennen. Experten-Checkliste zum Schutz vor Cyberangriffen herunterladen
Angriff über die Hintertür: IT-Supply-Chain als Einfallstor
Cavern Manticore verschafft sich Zugang, indem sie Fernwartungssoftware (RMM) missbraucht – im Visier steht vor allem SysAid. Die Hacker tarnen ihre Malware als legitime Software-Updates und kompromittieren so israelische IT-Dienstleister. Diese dienen dann als Sprungbrett, um an sensible Regierungsdaten zu gelangen.
Die Angriffskette läuft typischerweise so ab: Ein manipuliertes SysAid-Update schleust ein Paket für WinDirStat ein, ein legitimes Tool zur Speicherplatzanalyse. Dieses Paket wird für DLL-Sideloading missbraucht: Eine präparierte Version von uxtheme.dll – der sogenannte Cavern-Agent – wird in den Arbeitsspeicher geladen. Sobald der Agent aktiv ist, ruft er je nach Bedarf der Angreifer verschiedene Module für die weitere Ausspähung ab.
Fünf Spezialmodule für die totale Kontrolle
Das Framework umfasst fünf Hauptmodule, die den Angreifern umfassende Möglichkeiten für Aufklärung und laterale Bewegungen im Netzwerk bieten:
- mhm.dll: Dateiverwaltung und -operationen
- db.dll: SQL-Browser für Datenbankabfragen
- ode.dll: LDAP-Modul zur Erkundung von Active-Directory-Strukturen
- n-ten.dll: Netzwerkscanning und -aufklärung
- n-sws.dll: Tunneling-Funktionen zur Umgehung von Netzwerkbeschränkungen
Die Manipulation legitimer Software und psychologische Tricks bei Lieferketten-Angriffen stellen eine massive Gefahr für die IT-Sicherheit dar. In 4 konkreten Schritten zeigt Ihnen dieses kostenlose Anti-Phishing-Paket, wie Sie Ihre Mitarbeiter sensibilisieren und Hackerangriffe effektiv abwehren. Kostenloses Anti-Phishing-Paket für Unternehmen sichern
Alte Bekannte: Verbindungen zu MuddyWater und Lyceum
Die Sicherheitsforscher sehen deutliche Überschneidungen zwischen Cavern Manticore und den bekannten iranischen Gruppen MuddyWater und Lyceum. Beide stehen im Verdacht, für das iranische Ministerium für Nachrichtenwesen und Sicherheit (MOIS) zu arbeiten und haben in der Vergangenheit gezielt regionale Infrastrukturen attackiert.
Die Entdeckung des Cavern-Frameworks zeigt: Iranische Staatsakteure bauen ihre technischen Fähigkeiten kontinuierlich aus. Besonders besorgniserregend ist ihre wachsende Fähigkeit, vertrauenswürdige IT-Lieferketten zu kompromittieren, um an hochwertige Regierungsziele heranzukommen.
