Neue Cyberangriffe: Schadsoftware zielt auf iranische Systeme ab

Cyberangriff auf iranische Infrastruktur: Neue Schadsoftware "CanisterWorm" entdeckt

Eine finanziell motivierte Gruppe von Cyberkriminellen hat eine neue Angriffsstrategie entwickelt, um sich in den Konflikt um den Iran einzumischen. Dabei setzt sie auf eine selbstverbreitende Schadsoftware, die gezielt Systeme mit iranischen Zeitzonen-Einstellungen oder Farsi als Standardsprache angreift und deren Daten löscht.

Experten zufolge wurde die als CanisterWorm bezeichnete Malware erstmals am vergangenen Wochenende eingesetzt. Verantwortlich ist die relativ neue Gruppe TeamPCP, die bereits seit Dezember 2025 Cloud-Umgebungen von Unternehmen kompromittiert. Dabei nutzt sie exponierte Docker-APIs, Kubernetes-Cluster, Redis-Server sowie die Schwachstelle React2Shell, um sich seitlich durch Netzwerke zu bewegen.

Ziel: Cloud-Infrastrukturen statt Endgeräte

Laut einem Bericht des Sicherheitsunternehmens Flare konzentriert sich TeamPCP vor allem auf Cloud-Infrastrukturen und nicht auf Endgeräte. Dabei werden vorrangig exponierte Steuerungsebenen angegriffen. Die meisten kompromittierten Server befinden sich auf den Plattformen Azure (61%) und AWS (36%).

„TeamPCP setzt nicht auf neuartige Exploits oder originale Malware, sondern auf großflächige Automatisierung und die Kombination bekannter Angriffstechniken.“
Assaf Morag, Sicherheitsexperte bei Flare

Die Gruppe nutzt bestehende Schwachstellen, Fehlkonfigurationen und wiederverwendete Tools, um eine cloud-native Angriffsplattform zu schaffen, die exponierte Infrastruktur in ein sich selbst verbreitendes kriminelles Ökosystem verwandelt.

Supply-Chain-Angriff auf Sicherheits-Tool Trivy

Am 19. März führte TeamPCP einen Supply-Chain-Angriff auf den Schwachstellenscanner Trivy von Aqua Security durch. Dabei injizierte die Gruppe schadhafte Malware in offizielle GitHub-Actions-Releases. Obwohl Aqua Security die schädlichen Dateien inzwischen entfernt hat, konnten die Angreifer bereits schädliche Versionen veröffentlichen, die SSH-Schlüssel, Cloud-Zugangsdaten, Kubernetes-Tokens und Kryptowährungs-Wallets von Nutzern stahlen.

Neue Payload: Wiper-Angriff auf iranische Systeme

Charlie Eriksen, Sicherheitsexperte bei Aikido, berichtet, dass die gleiche technische Infrastruktur, die für den Trivy-Angriff genutzt wurde, nun für einen neuen schädlichen Payload eingesetzt wird. Dieser führt einen Wiper-Angriff aus, wenn die Zeitzone oder Spracheinstellung des Opfers auf den Iran hindeutet.

Laut Eriksen zerstört die Wiper-Komponente bei erkanntem Iran-Bezug alle Daten in einem Kubernetes-Cluster. Falls kein Cluster vorhanden ist, wird stattdessen die lokale Maschine gelöscht. Eriksen erklärt:

„Wenn das Opfer in Iran ist und Zugang zu einem Kubernetes-Cluster hat, werden alle Daten auf jedem Knoten im Cluster zerstört. Andernfalls wird nur die lokale Maschine gelöscht.“

„CanisterWorm“: Blockchain-basierte Angriffsplattform

Aikido bezeichnet die Infrastruktur von TeamPCP als „CanisterWorm“, da die Gruppe ihre Kampagnen über Internet Computer Protocol (ICP)-Canister orchestriert. Diese basieren auf blockchain-basierten „Smart Contracts“, die sowohl Code als auch Daten enthalten und Web-Inhalte direkt an Besucher ausliefern können.

Die dezentrale Architektur macht diese Canister resistent gegen Abschaltversuche. Solange die Betreiber die virtuellen Währungsgebühren zahlen, bleiben die Systeme erreichbar. Laut Eriksen prahlt die Gruppe in einem Telegram-Kanal mit ihren Erfolgen und behauptet, bereits sensible Daten großer Unternehmen gestohlen zu haben – darunter auch ein

Die genauen Ziele und der Umfang der Angriffe werden derzeit weiter untersucht.