APT35

APT35, auch bekannt als Charming Kitten, ist eine staatlich geförderte iranische Cyberspionagegruppe, die seit mindestens 2013 aktiv ist und für ihre ausgeklügelten Social-Engineering-Kampagnen und ihre hartnäckigen Angriffe auf geopolitische Gegner im staatlichen, akademischen und privaten Sektor bekannt ist.

Ist Ihr Unternehmen vor den Angriffen von APT35 sicher?

Der Ursprung von APT35

APT35, auch bekannt als Charming Kitten, Magic Hound, Mint Sandstorm, COBALT ILLUSION, TA453 und PHOSPHORUS, ist eine Cyberspionage-Gruppe, die mit dem Korps der Islamischen Revolutionsgarde (IRGC) des Iran in Verbindung steht. Die Gruppe ist seit mindestens 2013 aktiv und konzentriert sich auf das Sammeln von Informationen, die mit den geopolitischen Prioritäten des Irans übereinstimmen. Ihr wichtigstes operatives Merkmal ist der Einsatz von Social Engineering und phishing, um Personen und Organisationen anzugreifen, die als Gegner oder von strategischem Interesse für den Iran angesehen werden.

Die Taktik von APT35 ist akribisch, da sie oft gefälschte Personas erstellen und legitime Plattformen (z. B. LinkedIn, Google Drive) nutzen, um Zugangsdaten zu sammeln und malware zu verbreiten. Die Gruppe ist bekannt für ihre langfristigen und hartnäckigen Kampagnen gegen eine Vielzahl von globalen Zielen.

Länder, die von APT35 betroffen sind

APT35 zielt in erster Linie auf Einrichtungen in den Vereinigten Staaten, dem Vereinigten Königreich, Israel und Saudi-Arabien ab, aber ihre Kampagnen haben auch Länder wie Deutschland, Irak, Australien, Iran (interne Dissidenten) und Albanien erreicht. Diese Regionen sind aufgrund ihrer geopolitischen Lage, ihrer Diaspora-Bevölkerung oder der Tatsache, dass sie regimekritische Dissidenten und Journalisten beherbergen, von strategischer Bedeutung.

Von APT35 anvisierte Branchen

Die Operationen von APT35 erstrecken sich über mehrere Sektoren. Zu den vorrangigen Zielen gehören Regierungen, Verteidigungs-, Militär- und Nachrichtendienste, oft um strategische Erkenntnisse zu gewinnen oder sensible Daten zu exfiltrieren. Sie sind auch gegen akademische Einrichtungen, Medien, Denkfabriken und Nichtregierungsorganisationen aktiv, um abweichende Meinungen und politische Diskussionen zu überwachen. Branchen wie Öl und Gas, Pharmazeutik, Luft- und Raumfahrt, Technologie, Gesundheitswesen, Finanzdienstleistungen und Energie sind ebenfalls häufig betroffen, was auf ein breites Spektrum an wirtschaftlichen und politischen Spionagezielen hindeutet.

Die Opfer von APT35

Zu den prominenten Opfern gehören Mitarbeiter der US-amerikanischen und europäischen Regierungen, israelische akademische Einrichtungen und Organisationen wie die Weltgesundheitsorganisation (WHO). Im Jahr 2025 wurde eine israelische akademische Einrichtung gezielt mit einer bösartigen LNK-Datei angegriffen , die auf Google Drive gehostet wurde, was an die Taktik früherer Angriffe auf US-amerikanische Denkfabriken erinnert.

Angriffsmethode

Die Angriffsmethode von APT35

Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.

Vor allem durch phishing und Social Engineering auf Plattformen wie LinkedIn und WhatsApp. Gefälschte Personas und legitim aussehende Websites werden verwendet, um Ziele zu täuschen.

Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.

Erstellung oder Aktivierung von Standard- oder Administratorkonten, Verwendung von Tools wie PowerShell oder Mimikatz zur Ausweitung von Berechtigungen.

Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.

Die Gruppe deaktiviert Antivirenprogramme, Ereignisprotokolle und LSA-Schutz; außerdem verwenden sie Maskierungs- und Verschleierungstechniken, um nicht entdeckt zu werden.

Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.

Er stiehlt Anmeldeinformationen von Browsern und VPNs, gibt LSASS-Speicher aus und missbraucht Outlook Web Access (OWA ), um tieferen Zugriff zu erhalten.

Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.

APT35 führt eine umfassende Host-, Netzwerk- und Kontenerkennung mit Tools wie WMI, Ping und nltest durch.

Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.

Verwendet RDP, geplante Aufgaben und kopierte Tools, um sich im Netzwerk zu bewegen.

Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.

Konzentriert sich auf E-Mail-Sammlung, Keylogging, Screenshot-Erfassung und das Sammeln sensibler PST-Dateien und LSASS-Dumps.

Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.

Führt bösartige Nutzlasten mithilfe von PowerShell-, VBS- und bösartigen Verknüpfungsdateien (LNK) aus.

Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.

Verwendet Tools wie gzip, RAR und Dienste wie Telegram API und Google Drive für die Datenexfiltration.

Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.

APT35 konzentriert sich zwar in erster Linie auf Spionage, hat aber auch Fähigkeiten zur Datenverschlüsselung mit BitLocker und DiskCryptor demonstriert, was auf ein ransomware bei einigen Operationen schließen lässt.

Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.
Erster Zugang

Vor allem durch phishing und Social Engineering auf Plattformen wie LinkedIn und WhatsApp. Gefälschte Personas und legitim aussehende Websites werden verwendet, um Ziele zu täuschen.

Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.
Rechte-Eskalation

Erstellung oder Aktivierung von Standard- oder Administratorkonten, Verwendung von Tools wie PowerShell oder Mimikatz zur Ausweitung von Berechtigungen.

Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.
Verteidigung Umgehung

Die Gruppe deaktiviert Antivirenprogramme, Ereignisprotokolle und LSA-Schutz; außerdem verwenden sie Maskierungs- und Verschleierungstechniken, um nicht entdeckt zu werden.

Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.
Zugang zu Anmeldeinformationen

Er stiehlt Anmeldeinformationen von Browsern und VPNs, gibt LSASS-Speicher aus und missbraucht Outlook Web Access (OWA ), um tieferen Zugriff zu erhalten.

Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.
Entdeckung

APT35 führt eine umfassende Host-, Netzwerk- und Kontenerkennung mit Tools wie WMI, Ping und nltest durch.

Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.
Seitliche Bewegung

Verwendet RDP, geplante Aufgaben und kopierte Tools, um sich im Netzwerk zu bewegen.

Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.
Sammlung

Konzentriert sich auf E-Mail-Sammlung, Keylogging, Screenshot-Erfassung und das Sammeln sensibler PST-Dateien und LSASS-Dumps.

Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.
Ausführung

Führt bösartige Nutzlasten mithilfe von PowerShell-, VBS- und bösartigen Verknüpfungsdateien (LNK) aus.

Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.
Exfiltration

Verwendet Tools wie gzip, RAR und Dienste wie Telegram API und Google Drive für die Datenexfiltration.

Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.
Auswirkungen

APT35 konzentriert sich zwar in erster Linie auf Spionage, hat aber auch Fähigkeiten zur Datenverschlüsselung mit BitLocker und DiskCryptor demonstriert, was auf ein ransomware bei einigen Operationen schließen lässt.

MITRE ATT&CK Kartierung

Von der APT35 verwendete TTPs

TA0001: Initial Access
T1566
Phishing
T1189
Drive-by Compromise
T1078
Valid Accounts
TA0002: Execution
T1204
User Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1543
Create or Modify System Process
T1547
Boot or Logon Autostart Execution
T1136
Create Account
T1098
Account Manipulation
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1543
Create or Modify System Process
T1547
Boot or Logon Autostart Execution
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1221
Template Injection
T1036
Masquerading
T1027
Obfuscated Files or Information
T1070
Indicator Removal
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1555
Credentials from Password Stores
T1056
Input Capture
T1003
OS Credential Dumping
TA0007: Discovery
T1518
Software Discovery
T1482
Domain Trust Discovery
T1082
System Information Discovery
T1046
Network Service Discovery
TA0008: Lateral Movement
T1570
Lateral Tool Transfer
T1021
Remote Services
TA0009: Collection
T1560
Archive Collected Data
T1125
Video Capture
T1123
Audio Capture
T1119
Automated Collection
T1114
Email Collection
T1113
Screen Capture
TA0011: Command and Control
T1102
Web Service
T1573
Encrypted Channel
T1572
Protocol Tunneling
T1571
Non-Standard Port
T1219
Remote Access Software
T1132
Data Encoding
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
T1041
Exfiltration Over C2 Channel
TA0040: Impact
T1486
Data Encrypted for Impact
Plattform-Detektionen

So erkennen Sie APT35 mit Vectra AI AI

Liste der in der Vectra AI verfügbaren Erkennungen, die auf einen APT-Angriff hindeuten würden.

Häufig gestellte Fragen

Mit wem ist APT35 verbunden?

Wodurch unterscheidet sich APT35 von anderen iranischen Gruppen?

Was sind ihre primären Taktiken für den Erstzugang?

Welche malware werden von APT35 verwendet?

Wie entgeht APT35 der Entdeckung?

Sind sie dafür bekannt, dass sie Zero-Days oder spezifische CVEs verwenden?

Wie können Unternehmen APT35-Aktivitäten erkennen?

Welche C2-Techniken verwenden sie?

Wie kann das phishing von APT35 entschärft werden?

Welche Erkennungstools können helfen, APT35 zu stoppen?