Die als Cavern Manticore bezeichnete Gruppierung zielt seit Anfang 2026 auf israelische Regierungsbehörden und IT-Unternehmen ab. Ein Bericht von Check Point Research vom 6. Juli 2026 enthüllt die Arbeitsweise der Hacker.
Die Bedrohungsakteure nutzen ein modulares Kontrollsystem namens Cavern Framework, das auf Datendiebstahl und Aufklärung spezialisiert ist. Experten sehen Verbindungen zu bekannten Gruppen wie MuddyWater und Lyceum – beide stehen im Verdacht, mit dem iranischen Geheimdienst MOIS zusammenzuarbeiten.
Besonders perfide: Die Hacker kompromittieren gezielt IT-Dienstleister, um über diese Umwege an ihre eigentlichen Ziele zu gelangen. Diese Methode der Lieferketten-Attacke gilt als hochentwickelt und schwer abzuwehren.
Das Cavern-Framework: Tarnkappe aus dem Iran
Das Herzstück der Angriffe ist das bisher undokumentierte Cavern Framework, programmiert in .NET. Die Entwickler setzen auf verschiedene Kompilierungsformate – darunter .NET Framework, Mixed-Mode C++/CLI und Native AOT. Das macht die Analyse für Sicherheitsexperten extrem schwierig und hält die Erkennungsrate auf Sicherheitsplattformen niedrig.
Die Angriffskette beginnt meist mit legitimer Fernwartungssoftware. In mehreren Fällen nutzten die Hacker eine gefälschte SysAid-Aktualisierung, um per DLL-Seitenladung den Cavern-Agenten zu installieren. Dieser kommuniziert anschließend mit einem Kommando-Server, der über einen iranischen Provider registriert ist.
Das Framework besteht aus mehreren Spezialmodulen:
– Ein Dateimanager für lokale Operationen
– Ein SQL-Browser für Datenbankzugriffe
– Ein LDAP-Modul zur Aufklärung in Active-Directory-Umgebungen
– Werkzeuge für Netzwerkscans und verschlüsselte Tunnel
Die modulare Bauweise erlaubt es den Angreifern, ihre Werkzeuge für jedes Opfer maßzuschneidern – und gleichzeitig die forensischen Spuren auf infizierten Systemen zu minimieren.
Immer mehr Unternehmen werden Opfer von gezielten Cyberangriffen durch professionelle Hackergruppen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenloses E-Book zur Cyber Security jetzt herunterladen
Nordkorea und China: Parallel laufende Kampagnen
Neben den Aktivitäten im Nahen Osten haben andere staatliche Akteure ihre Angriffe verstärkt. Nordkoreanische Hacker sind für die PolinRider-Kampagne verantwortlich, die seit Dezember 2025 Open-Source-Entwickler ins Visier nimmt. Dabei wurden über 100 Pakete auf Plattformen wie NPM, Packagist und Go-Modulen kompromittiert. Ziel ist der Diebstahl von Entwickler-Zugangsdaten und Geheimnissen aus CI/CD-Umgebungen.
Parallel dazu attackieren mutmaßlich chinesische Hacker indische Steuerzahler. Die Operation DragonReturn, aktiv seit dem 18. Mai 2026, setzt auf Phishing-E-Mails, die offiziell als Mitteilungen der indischen Steuerbehörde getarnt sind. Die Opfer werden aufgefordert, eine gefälschte Steuererklärungs-Software herunterzuladen – die in Wahrheit den Schädling DcRAT installiert. Dieser ermöglicht Fernüberwachung und Datenabfluss. Die Infrastruktur der Operation führt zu IP-Adressen, die mit ChinaNet in Verbindung stehen.
Besonders perfide Phishing-Kampagnen und psychologische Tricks werden von Hackern immer häufiger genutzt, um in deutsche Unternehmensnetzwerke einzudringen. Dieser kostenlose Leitfaden zeigt Ihnen in 4 Schritten, wie Sie Ihr Unternehmen wirksam gegen solche Angriffe schützen können. Anti-Phishing-Paket für Unternehmen gratis sichern
Kanadische Geheimdienste schlagen zurück
Während ausländische Gruppen ihre Kampagnen fortsetzen, berichten auch westliche Dienste von eigenen Offensivoperationen. Kanadas Communications Security Establishment (CSE) gab bekannt, 2025 drei aktive Cyber-Operationen im Ausland durchgeführt zu haben.
Die Aktionen richteten sich gegen:
– Chemikalienhändler, die im Fentanyl-Geschäft tätig sind
– Eine extremistische Gruppe, deren Glaubwürdigkeit untergraben werden sollte
– Die Infrastruktur einer Ransomware-Bande, die lahmgelegt wurde
Zudem meldete der CSE die Störung einer Phishing-Kampagne, die auf kanadische Bundesbehörden abzielte. Diese Enthüllungen zeigen: Regierungen sind zunehmend bereit, offensiv gegen internationale Kriminelle und Extremisten vorzugehen.

