Cyberabwehr
WorkTitans-Server beschlagnahmt: Niederländische Ermittler stören Infrastruktur iranischer Hackergruppen
FIOD-Beschlagnahmung von WorkTitans-Servern beeinträchtigt mutmaßlich iranische Cyberoperationen
Ein Schlag gegen einen Hosting-Anbieter kann mehr bewirken als das Blockieren Tausender einzelner IP-Adressen. Genau das zeigt die Beschlagnahmung von rund 800 Servern in den Niederlanden: Sie störte nicht nur verdächtige Infrastruktur, sondern offenbar gleich mehrere aktive Cyberoperationen mit Bezug zum Iran. Der Fall WorkTitans macht deutlich, wie verwundbar staatlich unterstützte Hackergruppen werden, wenn Ermittler nicht nur Malware, sondern die Infrastruktur dahinter ins Visier nehmen.
Ende Mai haben Ermittler der niederländischen Finanzermittlungsbehörde FIOD in Rechenzentren in Dronten und Schiphol-Rijk rund 800 Server beschlagnahmt. Im Zentrum der Ermittlungen stand der Hosting-Anbieter WorkTitans B.V., der nach außen wie ein gewöhnlicher Anbieter für Internetinfrastruktur wirkte. Hinter der Fassade soll jedoch eine Infrastruktur betrieben worden sein, die nach Erkenntnissen von Sicherheitsforschern auch von mehreren iranischen Cybergruppen genutzt wurde.
Besonders brisant ist der Sanktionskontext: Im Mai 2025 hatte die Europäische Union Sanktionen gegen Stark Industries verhängt, einen Internetdienstleister, der mit russischen Einfluss- und Cyberoperationen in Verbindung gebracht wurde. Statt die Infrastruktur vollständig abzuschalten, sollen Teile davon unter einem neuen Firmennamen weitergelaufen sein. WorkTitans trat demnach als mutmaßlicher Nachfolger auf und betrieb offenbar Server weiter, die zuvor mit sanktionierten Strukturen verbunden waren.
Für Sicherheitsverantwortliche ist der Fall deshalb mehr als eine Strafverfolgungsmeldung. Er zeigt, wie Hosting-Anbieter, Reseller-Netzwerke und scheinbar legitime Cloud-Infrastruktur zum operativen Rückgrat moderner Spionagekampagnen werden können.
Drei iranische Gruppen, eine gemeinsame Infrastruktur
Die Analyse der Infrastruktur legt nahe, dass die Beschlagnahmung von WorkTitans mehrere iranische Cyberoperationen gleichzeitig beeinträchtigt hat. Drei unterschiedliche Bedrohungsgruppen nutzten demnach WorkTitans-Server für zentrale operative Zwecke – obwohl sie verschiedene Ziele, Methoden und Kampagnen verfolgten.
MuddyWater: Phishing, Backdoors und Command-and-Control
MuddyWater gilt als iranische Cyberespionagegruppe mit Nähe zum Ministerium für Geheimdienst und Sicherheit, dem MOIS. Die Gruppe ist seit Jahren für Phishing-Kampagnen gegen Regierungsstellen, Unternehmen und Organisationen im Nahen Osten, in Europa und darüber hinaus bekannt.
In früheren Kampagnen verschaffte sich MuddyWater häufig über kompromittierte Unternehmenskonten Zugang zu Zielorganisationen. Anschließend kamen legitime Fernwartungstools wie Atera Agent oder ScreenConnect zum Einsatz, um Zugriff und Persistenz zu sichern. In jüngeren Operationen rückte jedoch die maßgeschneiderte Backdoor BugSleep stärker in den Fokus. Nach aktuellen Erkenntnissen dienten WorkTitans-Server dabei als Command-and-Control-Infrastruktur. Das bedeutet: Die kompromittierten Systeme kommunizierten über diese Server mit den Angreifern, empfingen Befehle und konnten Daten exfiltrieren. Wird eine solche Infrastruktur beschlagnahmt, verlieren Angreifer nicht nur einzelne Zugangspunkte, sondern Teile ihrer Steuerungsarchitektur.
Agrius: Gefälschte Jobangebote als Einfallstor
Auch Agrius, unter anderem als UNC2428 bekannt, soll WorkTitans-Infrastruktur genutzt haben. Die mit dem Iran in Verbindung gebrachte Gruppe setzte zuletzt auf Social Engineering im Stil professioneller Recruiting-Prozesse.
Dabei gaben sich Angreifer als Vertreter eines israelischen Rüstungskonzerns aus und lockten Zielpersonen mit scheinbar seriösen Stellenangeboten. Interessierte Opfer wurden auf überzeugend gestaltete Fake-Websites weitergeleitet und aufgefordert, ein Tool namens RafaelConnect.exe herunterzuladen. Das Installationsprogramm, von Forschern als LONEFLEET bezeichnet, zeigte eine realistische Benutzeroberfläche und bat Nutzer um persönliche Daten sowie einen Lebenslauf.
Im Hintergrund wurde jedoch die Backdoor MURKYTOUR installiert. Diese kommunizierte anschließend über Infrastruktur, die mit WorkTitans in Verbindung gebracht wurde. Für die Angreifer war der Recruiting-Köder besonders wertvoll, weil er Vertrauen erzeugte, sensible Informationen abfragte und gleichzeitig technischen Zugriff eröffnete.
Nimbus Manticore: Fokus auf Luftfahrt, Verteidigung und Europa
Nimbus Manticore verfolgt ebenfalls einen Recruiting-Ansatz, agiert jedoch mit breiterem Zielprofil. Die Gruppe wird mit iranischen Interessen in Verbindung gebracht und konzentrierte sich unter anderem auf Personen und Organisationen aus Luftfahrt, Verteidigung, Telekommunikation und angrenzenden Hochtechnologiesektoren. Die Angreifer nutzten gefälschte Recruiter-Profile auf LinkedIn, speziell eingerichtete Jobportale und professionell wirkende Köderdokumente. Opfer wurden dazu gebracht, ZIP-Archive herunterzuladen, die legitim aussahen, aber eine bösartige DLL enthielten. Beim Öffnen des Köders wurde die DLL per Side-Loading ausgeführt. Dadurch erhielten die Angreifer Fernzugriff, konnten Zugangsdaten stehlen und sich potenziell seitlich im Netzwerk bewegen.
Auffällig ist bei Nimbus Manticore die flexible Nutzung wechselnder VPS- und Hosting-Anbieter. WorkTitans war Teil dieses Musters: Die Infrastruktur wurde offenbar genutzt, um Kampagnen robuster zu machen, Blockierungen zu umgehen und die Nachverfolgung zu erschweren.
Warum der Fall WorkTitans für Security-Teams so wichtig ist
Die Beschlagnahmung zeigt ein zentrales Problem moderner Cyberabwehr: Viele Organisationen bewerten noch immer einzelne IP-Adressen isoliert. Doch Angreifer haben sich längst daran angepasst. Sie rotieren IPs, wechseln Anbieter, nutzen Reseller-Strukturen oder verstecken sich in Umgebungen, die auf den ersten Blick legitim erscheinen. Der Fall WorkTitans macht deutlich: Nicht nur die einzelne IP-Adresse ist relevant – die Hosting-Umgebung selbst ist ein Signal. Eine IP kann unauffällig wirken, während das zugehörige Netzwerk bereits wiederholt mit Phishing-Kits, Malware, Command-and-Control-Servern oder Scan-Infrastruktur aufgefallen ist. Genau hier gewinnen ASN-Reputation, passive DNS-Daten, Abuse-Historie und Netzblockanalysen an Bedeutung.
Wer nur auf klassische IP-Blocklisten schaut, sieht häufig zu spät, was Angreifer längst ausnutzen: schwache oder permissive Hosting-Ökosysteme, in denen sich mehrere Bedrohungsakteure parallel bewegen können.
Von IP-Reputation zu Infrastruktur-Intelligence
Für Unternehmen, Behörden und Betreiber kritischer Infrastrukturen ist die zentrale Lehre klar: Cyberabwehr muss Infrastruktur ganzheitlich bewerten. Dazu gehören mehrere Ebenen. Erstens sollten Security-Teams verdächtige IP-Adressen immer ihrer Hosting-Umgebung zuordnen. Entscheidend ist nicht nur die Adresse selbst, sondern auch, welchem ASN, Netzblock und Anbieter sie zugeordnet ist. Ein seriöser Cloud-Anbieter ist anders zu bewerten als ein Reseller-Netzwerk mit wiederkehrender Abuse-Historie. Zweitens sollte ASN-Reputation stärker gewichtet werden. Wenn innerhalb desselben autonomen Systems immer wieder Malware, Phishing, Credential Stuffing oder Exploit-Scanning beobachtet werden, ist das ein deutlich stärkeres Risikosignal als ein einzelner Treffer in einer IP-Datenbank.
Drittens lohnt sich ein Blick in passive DNS-Daten. Hohe Domain-Fluktuation, frisch registrierte Domains, zufällig wirkende Domainnamen oder bekannte Phishing-Muster können frühzeitig auf missbrauchte Infrastruktur hinweisen.
Viertens sollten eigene Logdaten konsequent auf Verhaltenssignale geprüft werden. Wiederholte Scans, Brute-Force-Versuche, ungewöhnliche Authentifizierungen oder Exploit-Probing von VPS-Quellen verdienen eine tiefergehende Untersuchung – auch dann, wenn die IP-Adresse noch nicht auf einer Blockliste steht. Fünftens braucht anonymisierende Infrastruktur besondere Aufmerksamkeit. Verbindungen über bekannte VPNs, Proxys oder Tor-Exit-Knoten sind nicht automatisch bösartig, sollten aber im Kontext von Zugriffsmustern, Geolokalisierung und Nutzerverhalten bewertet werden.
Experteneinschätzung: Der Ruf des Hosters wird zum Frühwarnsignal
Sergey Shykevich, Group Manager Threat Intelligence bei Check Point Research , ordnet den Fall so ein:
„Die Beschlagnahmung von WorkTitans zeigt, wie permissive Hosting-Umgebungen still und leise zu einer gemeinsamen Infrastruktur für mehrere staatlich geförderte Akteure werden, die völlig unabhängig voneinander agieren. Die Lehre für Verteidiger betrifft nicht nur diese spezifischen Gruppen – sie lautet vielmehr, dass der Ruf eines einzelnen Hosting-Anbieters ein zuverlässigeres Bedrohungssignal sein kann als jede einzelne IP-Adresse. Wenn man IPs nur isoliert bewertet, verpasst man den Gesamtzusammenhang.“
Die Beschlagnahmung der WorkTitans-Server ist ein Erfolg für die Strafverfolgungsbehörden. Noch wichtiger ist jedoch die strategische Botschaft dahinter: Wer Cyberoperationen stören will, muss die Infrastruktur treffen, nicht nur einzelne Indikatoren.
Iranische Gruppen wie MuddyWater, Agrius und Nimbus Manticore zeigen, wie flexibel staatlich unterstützte Akteure heute arbeiten. Sie nutzen legitime Dienste, gefälschte Bewerbungsprozesse, wechselnde VPS-Anbieter und missbrauchte Hosting-Umgebungen, um ihre Operationen zu verschleiern.
Für Verteidiger bedeutet das: Die nächste Stufe der Cyberabwehr liegt nicht in noch längeren IP-Listen, sondern in besserer Infrastruktur-Intelligence. Wer ASN-Reputation, passive DNS-Daten, Hosting-Historie und Verhaltensanalysen zusammenführt, erkennt Bedrohungen früher – und sieht den Zusammenhang, bevor einzelne Angriffe eskalieren.
