Iranische Hacker nutzen AppDomainManager-Hijacking, um EDR-Erkennung zu umgehen

Iranische Hacker haben ihre Cyber-Spionage-Methoden auf ein neues Niveau gehoben und setzen eine ausgefeilte.NET-Hijack-Technik ein, um Endpunktschutzsysteme zu umgehen und Organisationen in den Vereinigten Staaten, Isr Iranische Hacker haben ihre Cyber-Spionage-Methoden auf ein neues Niveau gehoben und setzen eine ausgefeilte.NET-Hijack-Technik ein, um Endpunktschutzsysteme zu umgehen und Organisationen in den Vereinigten Staaten, Israel und den Vereinigten Arabischen Emiraten anzugreifen.

Die Kampagne verschärfte sich nach einem regionalen Konflikt, der am 28. Februar 2026 ausbrach und einer iranisch verbundenen Advanced Persistent Threat (APT)-Gruppe zugeschrieben wird, die unter mehreren bekannten Decknamen operiert. Sicherheitsforscher verfolgen einen raschen Anstieg der Aktivitäten, der keine Anzeichen eines Abflauens zeigt.

Die Bedrohungsgruppe, auch als Screening Serpens bekannt und zusätzlich unter den Bezeichnungen UNC1549, Smoke Sandstorm und Iranian Dream Job geführt, ist seit mindestens 2022 aktiv. Historisch konzentrierte sie sich auf Ziele im Nahen Osten, erweiterte jedoch im Spätherbst 2025 ihren Fokus auf Westeuropa.

Ihre bevorzugten Ziele befinden sich in hochsensiblen Sektoren wie Luft- und Raumfahrt, Rüstungsindustrie sowie Telekommunikation.

Die Angreifer erreichen ihre Opfer durch personalisierte -Engineering-Methoden, bei denen gefälschte Stellenangebote und manipulierte Meeting-Einladungen genutzt werden, um Fachkräfte zum Herunterladen bösartiger Dateien zu verleiten.

Forscher 42 identifizierten sechs neue Varianten (RAT), die zwischen Februar und April 2026 eingesetzt wurden und in zwei distincte Malware-Familien namens MiniUpdate und MiniJunk V2 unterteilt sind. Laut einem 42 verfassten Bericht, der bei