Mutmasslich iranische Akteure haben im März 2026 über 300 israelische und mehr als 25 Organisationen in den VAE mit Password-Spraying-Angriffen auf Microsoft 365 attackiert. Die Angriffe kamen in drei Wellen: am 3., 13. und 23. März.
Zielauswahl
Der Schwerpunkt lag auf israelischen Kommunalverwaltungen. Weitere betroffene Sektoren: Technologie (63 Angriffsversuche), Transport und Logistik (32), Gesundheitswesen (28) und Fertigung (28). Vereinzelte Ziele gab es auch in den USA, Europa und Saudi-Arabien.
Check Point stellte eine Korrelation zwischen den angegriffenen Organisationen und Städten fest, die von iranischen Raketenangriffen getroffen wurden. Die Forscher schliessen daraus, dass die Kampagne kinetische Operationen unterstützen sollte — konkret: Bombing Damage Assessment (BDA), also die Schadensbewertung nach Angriffen.
Zuordnung
Die Angriffsmuster passen zu bekannten iranischen Gruppen: Peach Sandstorm (IRGC-verknüpft) und Gray Sandstorm, die Password-Spraying als bevorzugte Methode für den Erstzugang zu Microsoft-365-Umgebungen nutzen.
Relevanz für DACH
Direkte Angriffe auf DACH-Organisationen wurden in dieser Kampagne nicht beobachtet. Aber: Wer Geschäftsbeziehungen mit israelischen oder UAE-Partnern unterhält und gemeinsame Microsoft-365-Tenants nutzt, sollte seine Zugriffsprotokolle prüfen.
Quellen: Check Point Research Blog (31.03.2026), The Register.