APT35
APT35, auch bekannt als Charming Kitten, ist eine staatlich geförderte iranische Cyberspionagegruppe, die seit mindestens 2013 aktiv ist und für ihre ausgeklügelten Social-Engineering-Kampagnen und ihre hartnäckigen Angriffe auf geopolitische Gegner im staatlichen, akademischen und privaten Sektor bekannt ist.

Der Ursprung von APT35
APT35, auch bekannt als Charming Kitten, Magic Hound, Mint Sandstorm, COBALT ILLUSION, TA453 und PHOSPHORUS, ist eine Cyberspionage-Gruppe, die mit dem Korps der Islamischen Revolutionsgarde (IRGC) des Iran in Verbindung steht. Die Gruppe ist seit mindestens 2013 aktiv und konzentriert sich auf das Sammeln von Informationen, die mit den geopolitischen Prioritäten des Irans übereinstimmen. Ihr wichtigstes operatives Merkmal ist der Einsatz von Social Engineering und phishing, um Personen und Organisationen anzugreifen, die als Gegner oder von strategischem Interesse für den Iran angesehen werden.
Die Taktik von APT35 ist akribisch, da sie oft gefälschte Personas erstellen und legitime Plattformen (z. B. LinkedIn, Google Drive) nutzen, um Zugangsdaten zu sammeln und malware zu verbreiten. Die Gruppe ist bekannt für ihre langfristigen und hartnäckigen Kampagnen gegen eine Vielzahl von globalen Zielen.
Länder, die von APT35 betroffen sind
APT35 zielt in erster Linie auf Einrichtungen in den Vereinigten Staaten, dem Vereinigten Königreich, Israel und Saudi-Arabien ab, aber ihre Kampagnen haben auch Länder wie Deutschland, Irak, Australien, Iran (interne Dissidenten) und Albanien erreicht. Diese Regionen sind aufgrund ihrer geopolitischen Lage, ihrer Diaspora-Bevölkerung oder der Tatsache, dass sie regimekritische Dissidenten und Journalisten beherbergen, von strategischer Bedeutung.
Von APT35 anvisierte Branchen
Die Operationen von APT35 erstrecken sich über mehrere Sektoren. Zu den vorrangigen Zielen gehören Regierungen, Verteidigungs-, Militär- und Nachrichtendienste, oft um strategische Erkenntnisse zu gewinnen oder sensible Daten zu exfiltrieren. Sie sind auch gegen akademische Einrichtungen, Medien, Denkfabriken und Nichtregierungsorganisationen aktiv, um abweichende Meinungen und politische Diskussionen zu überwachen. Branchen wie Öl und Gas, Pharmazeutik, Luft- und Raumfahrt, Technologie, Gesundheitswesen, Finanzdienstleistungen und Energie sind ebenfalls häufig betroffen, was auf ein breites Spektrum an wirtschaftlichen und politischen Spionagezielen hindeutet.
Die Opfer von APT35
Zu den prominenten Opfern gehören Mitarbeiter der US-amerikanischen und europäischen Regierungen, israelische akademische Einrichtungen und Organisationen wie die Weltgesundheitsorganisation (WHO). Im Jahr 2025 wurde eine israelische akademische Einrichtung gezielt mit einer bösartigen LNK-Datei angegriffen , die auf Google Drive gehostet wurde, was an die Taktik früherer Angriffe auf US-amerikanische Denkfabriken erinnert.
Die Angriffsmethode von APT35

Vor allem durch phishing und Social Engineering auf Plattformen wie LinkedIn und WhatsApp. Gefälschte Personas und legitim aussehende Websites werden verwendet, um Ziele zu täuschen.

Erstellung oder Aktivierung von Standard- oder Administratorkonten, Verwendung von Tools wie PowerShell oder Mimikatz zur Ausweitung von Berechtigungen.

Die Gruppe deaktiviert Antivirenprogramme, Ereignisprotokolle und LSA-Schutz; außerdem verwenden sie Maskierungs- und Verschleierungstechniken, um nicht entdeckt zu werden.

Er stiehlt Anmeldeinformationen von Browsern und VPNs, gibt LSASS-Speicher aus und missbraucht Outlook Web Access (OWA ), um tieferen Zugriff zu erhalten.

APT35 führt eine umfassende Host-, Netzwerk- und Kontenerkennung mit Tools wie WMI, Ping und nltest durch.

Verwendet RDP, geplante Aufgaben und kopierte Tools, um sich im Netzwerk zu bewegen.

Konzentriert sich auf E-Mail-Sammlung, Keylogging, Screenshot-Erfassung und das Sammeln sensibler PST-Dateien und LSASS-Dumps.

Führt bösartige Nutzlasten mithilfe von PowerShell-, VBS- und bösartigen Verknüpfungsdateien (LNK) aus.

Verwendet Tools wie gzip, RAR und Dienste wie Telegram API und Google Drive für die Datenexfiltration.

APT35 konzentriert sich zwar in erster Linie auf Spionage, hat aber auch Fähigkeiten zur Datenverschlüsselung mit BitLocker und DiskCryptor demonstriert, was auf ein ransomware bei einigen Operationen schließen lässt.

Vor allem durch phishing und Social Engineering auf Plattformen wie LinkedIn und WhatsApp. Gefälschte Personas und legitim aussehende Websites werden verwendet, um Ziele zu täuschen.

Erstellung oder Aktivierung von Standard- oder Administratorkonten, Verwendung von Tools wie PowerShell oder Mimikatz zur Ausweitung von Berechtigungen.

Die Gruppe deaktiviert Antivirenprogramme, Ereignisprotokolle und LSA-Schutz; außerdem verwenden sie Maskierungs- und Verschleierungstechniken, um nicht entdeckt zu werden.

Er stiehlt Anmeldeinformationen von Browsern und VPNs, gibt LSASS-Speicher aus und missbraucht Outlook Web Access (OWA ), um tieferen Zugriff zu erhalten.

APT35 führt eine umfassende Host-, Netzwerk- und Kontenerkennung mit Tools wie WMI, Ping und nltest durch.

Verwendet RDP, geplante Aufgaben und kopierte Tools, um sich im Netzwerk zu bewegen.

Konzentriert sich auf E-Mail-Sammlung, Keylogging, Screenshot-Erfassung und das Sammeln sensibler PST-Dateien und LSASS-Dumps.

Führt bösartige Nutzlasten mithilfe von PowerShell-, VBS- und bösartigen Verknüpfungsdateien (LNK) aus.

Verwendet Tools wie gzip, RAR und Dienste wie Telegram API und Google Drive für die Datenexfiltration.

APT35 konzentriert sich zwar in erster Linie auf Spionage, hat aber auch Fähigkeiten zur Datenverschlüsselung mit BitLocker und DiskCryptor demonstriert, was auf ein ransomware bei einigen Operationen schließen lässt.
Von der APT35 verwendete TTPs
So erkennen Sie APT35 mit Vectra AI AI
Liste der in der Vectra AI verfügbaren Erkennungen, die auf einen APT-Angriff hindeuten würden.
Häufig gestellte Fragen
Mit wem ist APT35 verbunden?
APT35 ist mit dem Korps der Islamischen Revolutionsgarden Irans (IRGC) verbunden und arbeitet im Auftrag des Geheimdienstes.
Wodurch unterscheidet sich APT35 von anderen iranischen Gruppen?
APT35 zeichnet sich durch tiefgreifendes Social Engineering und die Erstellung gefälschter Online-Persönlichkeiten aus, wobei oft mehrere Schritte erforderlich sind, bevor bösartige Nutzdaten übermittelt werden.
Was sind ihre primären Taktiken für den Erstzugang?
Sie verwenden phishing , bösartige Anhänge, Drive-by-Downloads und geben sich in sozialen Medien als solche aus.
Welche malware werden von APT35 verwendet?
Zu den bemerkenswerten Tools gehören PowerWindow, Parastoo RAT, Maelstrom RAT, MediaPl, NICECURL und kundenspezifische malware.
Wie entgeht APT35 der Entdeckung?
Sie nutzen Verschleierung, verschlüsselte Kommunikation und Maskerade und nutzen oft vertrauenswürdige cloud wie Google Drive.
Sind sie dafür bekannt, dass sie Zero-Days oder spezifische CVEs verwenden?
Ja, einschließlich CVE-2022-30190 (Follina), ProxyShell, Log4Shell und Fortinet SSL VPN-Schwachstellen.
Wie können Unternehmen APT35-Aktivitäten erkennen?
Achten Sie auf Anzeichen wie ungewöhnliche PowerShell-Ausführung, LSASS-Speicherzugriff, RDP-Sitzungen über nicht standardisierte Ports und verdächtigen Domänenzugriff.
Welche C2-Techniken verwenden sie?
APT35 verwendet legitime kompromittierte Domänen, Webservices, SOAP, IRC und verschlüsselte HTTP-Proxys.
Wie kann das phishing von APT35 entschärft werden?
Einsatz von E-Mail-Filterung, Anhangsüberprüfung und Benutzerschulung sowie URL-Rewriting/Sandboxing-Lösungen.
Welche Erkennungstools können helfen, APT35 zu stoppen?
Netzwerkerkennungs- und -reaktionslösungen (Network Detection and Response, NDR) sind äußerst wirksam gegen die Taktiken von APT35. In Anbetracht der Tatsache, dass sich die Gruppe auf die Steuerung über Webprotokolle, die Nutzung verschlüsselter Kanäle und die Datenexfiltration über cloud verlässt, bieten NDR-Plattformen einen tiefen Einblick in den Ost-West- und ausgehenden Datenverkehr.