Porta del darrere de MuddyViper
Una onada recent d'activitat d'espionatge s'ha concentrat en una àmplia gamma d'organitzacions israelianes del món acadèmic, d'enginyeria, del govern local, de la indústria manufacturera, la tecnologia, el transport i els serveis públics. L'operació, atribuïda a actors alineats amb l'estat iranià, va introduir una porta del darrere desconeguda anteriorment anomenada MuddyViper, cosa que indica una nova escalada en les tàctiques del grup. Una empresa tecnològica amb seu a Egipte també va quedar en el punt de mira, amb la campanya des de finals de setembre de 2024 fins a mitjans de març de 2025.
Taula de continguts
Un adversari familiar amb capacitats en expansió
Els atacs s'han relacionat amb MuddyWater, també conegut com a Mango Sandstorm, Static Kitten o TA450, un grup que s'ha avaluat que opera sota el Ministeri d'Intel·ligència i Seguretat de l'Iran. Actiu des d'almenys el 2017, MuddyWater té un llarg historial d'espionatge i accions destructives, incloent-hi campanyes anteriors de POWERSTATS i l'ús del ransomware PowGoop durant l'Operació Quicksand.
Segons les conclusions publicades, el grup continua atacant objectius israelians que abasten les autoritats locals, el transport aeri, el turisme, els serveis sanitaris, les xarxes de telecomunicacions, els proveïdors de TI i les pimes.
El seu manual en evolució: des de l’enginyeria social fins a l’explotació de les debilitats de les VPN
L'actor d'amenaces normalment es basa en correus electrònics de spear-phishing i en l'abús de vulnerabilitats VPN conegudes per accedir-hi. Històricament, aquestes intrusions implicaven el desplegament d'eines d'administració remota legítimes, un tret distintiu de les operacions de MuddyWater. Des del maig de 2024, però, els seus correus electrònics de phishing han començat a oferir una porta del darrere furtiva coneguda com a BugSleep (també anomenada MuddyRot), que mostra un canvi cap a eines més personalitzades.
L'arsenal més ampli del grup és extens i inclou Blackout, AnchorRat, CannonRat, Neshta i el framework Sad C2, que ajuda a propagar carregadors com ara TreasureBox i BlackPearl RAT.
El phishing continua sent el primer pas
L'última onada d'atacs encara comença amb correus electrònics maliciosos que contenen fitxers PDF adjunts. Aquests PDF dirigeixen les víctimes cap a descàrregues d'eines remotes àmpliament utilitzades com ara Atera, Level, PDQ i SimpleHelp. Un cop s'han aconseguit un punt de suport, els atacants passen a implementar components més especialitzats.
Presentació de Fooder i MuddyViper
Aquesta campanya presenta de manera destacada un carregador anomenat Fooder, creat per desxifrar i executar la porta del darrere MuddyViper basada en C/C++. També s'han vist variants de Fooder distribuint utilitats de tunelització go-socks5 i l'eina de codi obert HackBrowserData per recopilar dades del navegador de nombroses plataformes (amb l'excepció de Safari).
El mateix MuddyViper atorga un control ampli, permetent als operadors recopilar detalls del sistema, executar fitxers i ordres, moure dades dins i fora i robar credencials de Windows i informació del navegador. Admet 20 ordres integrades per mantenir l'accés ocult. Algunes variants de Fooder es disfressen del clàssic joc Snake i es basen en l'execució retardada per a la detecció d'equivocs, una tècnica que es va observar per primera vegada el setembre del 2025.
Eines addicionals observades en l’operació
Els investigadors també van documentar el desplegament de diverses utilitats de suport dissenyades per a la persistència, el robatori de credencials i la recopilació de dades:
VAXOne: una porta del darrere que es fa passar per Veeam, AnyDesk, Xerox o l'actualitzador OneDrive.
CE-Notes: una eina de robatori de dades del navegador dissenyada per eludir el xifratge vinculat a les aplicacions de Chrome robant la clau de xifratge de l'estat local.
Blub: un lladre d'AC/C++ que recopila dades d'inici de sessió de Chrome, Edge, Firefox i Opera.
LP-Notes: eina de recopilació de credencials d'AC/C++ que mostra un missatge fraudulent de seguretat de Windows per enganyar els usuaris perquè introdueixin les seves dades d'inici de sessió.
Col·laboració amb Lyceum: sorgeix una superposició operativa
La investigació va revelar que l'activitat de MuddyWater es va creuar amb les operacions de Lyceum (també conegut com Hexane, Spirlin o Siamesekitten), un subgrup d'OilRig (APT34) actiu en el ciberespionatge regional des d'almenys el 2018.
Durant els incidents identificats a principis del 2025, MuddyWater probablement va actuar com a intermediari d'accés inicial dins d'una organització de fabricació israeliana implementant eines d'escriptori remot i un carregador de Mimikatz personalitzat. Lyceum probablement va aprofitar les credencials robades per ampliar l'accés i assumir el control operatiu.
Un signe de maduresa operativa creixent
La introducció de nous components, en particular el carregador Fooder i la porta del darrere MuddyViper, destaca un progrés notable en la sofisticació tècnica i operativa de MuddyWater. El grup està invertint clarament en mecanismes de persistència més discrets, un robatori de credencials més eficient i unes capacitats de reconeixement més profundes.
La campanya subratlla una amenaça contínua i creixent dels operadors cibernètics alineats amb l'Iran. La seva combinació de programari maliciós personalitzat, carregadors furtius, eines d'administració remota legítimes i col·laboració entre grups suggereix que les organitzacions de la regió han de mantenir-se en alerta màxima i reforçar les defenses contra estratègies d'intrusió cada cop més complexes.
