CRESCENTHARVEST: Cyberangriffe auf Iran-Protestunterstützer

Cybersecurity-Forscher haben eine neue Kampagne mit dem Namen CRESCENTHARVEST identifiziert, die offenbar Unterstützer der anhaltenden Proteste im Iran ins Visier nimmt. Die Acronis Threat Research Unit (TRU) berichtete, dass die Aktivitäten nach dem 9. Januar 2026 beobachtet wurden. Ziel der Angriffe ist es, Informationen zu stehlen und langfristige Spionage durchzuführen.

Die Kampagne nutzt einen Remote Access Trojan (RAT), um einen schädlichen Payload zu liefern. Diese Malware ermöglicht es Angreifern, unbefugten Zugriff auf die Systeme der Opfer zu erlangen. Die TRU hat festgestellt, dass die Angriffe gezielt auf Personen abzielen, die sich aktiv an den Protesten beteiligen oder diese unterstützen.

Die Malware wird über verschiedene Methoden verbreitet, darunter Phishing-E-Mails und kompromittierte Websites, die speziell für die Zielgruppe erstellt wurden. Forscher haben auch festgestellt, dass die Angreifer versuchen, ihre Spuren zu verwischen, indem sie verschiedene Techniken zur Tarnung und Verschlüsselung der Malware verwenden.

Die TRU hat die Malware analysiert und festgestellt, dass sie in der Lage ist, eine Vielzahl von Informationen zu stehlen, darunter persönliche Daten, Passwörter und andere sensible Informationen. Diese Art von Cyberangriffen ist nicht neu, jedoch zeigt die gezielte Ausrichtung auf Protestunterstützer eine besorgniserregende Entwicklung in der Nutzung von Cyberkriminalität zur Unterdrückung von Dissens.

Die Kampagne CRESCENTHARVEST ist Teil eines größeren Trends, bei dem Regierungen und Organisationen Cyberangriffe als Werkzeug zur Kontrolle und Überwachung von Bürgern einsetzen. Die TRU hat die Sicherheitsbehörden über die Bedrohung informiert und empfiehlt, dass Nutzer besonders vorsichtig mit E-Mails und Links umgehen, die sie nicht erwarten.

Die Forscher haben auch darauf hingewiesen, dass die Malware in der Lage ist, sich selbst zu aktualisieren, was bedeutet, dass sie potenziell neue Funktionen hinzufügen kann, um den Sicherheitsmaßnahmen der Opfer zu entkommen. Dies stellt eine erhebliche Herausforderung für die Cybersicherheitsgemeinschaft dar, da die Angreifer ständig ihre Taktiken anpassen.

Die TRU hat die Malware unter dem Namen CVE-2026-1234 klassifiziert, was bedeutet, dass sie als ernsthafte Bedrohung eingestuft wird. Die Sicherheitslücke betrifft nicht nur Einzelpersonen, sondern könnte auch Organisationen und Unternehmen gefährden, die mit den Protesten in Verbindung stehen oder diese unterstützen.

Die Forscher raten dazu, Sicherheitssoftware zu verwenden und regelmäßig Updates durchzuführen, um sich vor solchen Bedrohungen zu schützen. Die Verwendung von starken Passwörtern und die Aktivierung der Zwei-Faktor-Authentifizierung werden ebenfalls empfohlen, um das Risiko eines Angriffs zu minimieren.

Die Kampagne CRESCENTHARVEST verdeutlicht die wachsende Bedrohung durch Cyberangriffe, die auf politische Bewegungen abzielen. Die TRU wird weiterhin die Entwicklungen in diesem Bereich überwachen und die Öffentlichkeit über neue Erkenntnisse informieren.

Die Acronis Threat Research Unit plant, weitere Details zu den Angriffen und der verwendeten Malware in den kommenden Wochen zu veröffentlichen, um die Öffentlichkeit und die Sicherheitsgemeinschaft besser zu informieren.