Zadní vrátka MuddyViper
Nedávná vlna špionážních aktivit se zaměřila na širokou škálu izraelských organizací napříč akademickou sférou, strojírenstvím, místní samosprávou, výrobou, technologiemi, dopravou a veřejnými službami. Operace, připisovaná íránským státním aktérům, zavedla dříve neznámé zadní vrátka s názvem MuddyViper, což signalizuje novou eskalaci taktik skupiny. Do hledáčku se dostala i jedna technologická firma se sídlem v Egyptě, jejíž kampaň probíhala od konce září 2024 do poloviny března 2025.
Obsah
Známý protivník s rozšiřujícími se schopnostmi
Útoky byly spojovány s MuddyWater, známou také jako Mango Sandstorm, Static Kitten nebo TA450, skupinou, o které se předpokládá, že působí pod íránským ministerstvem zpravodajství a bezpečnosti. MuddyWater, aktivní nejméně od roku 2017, má za sebou dlouhou historii špionáže a destruktivních akcí, včetně dřívějších kampaní POWERSTATS a použití ransomwaru PowGoop během operace Quicksand.
Podle zveřejněných zjištění skupina pokračuje v útokech na izraelské cíle, které zahrnují místní úřady, leteckou dopravu, cestovní ruch, zdravotnictví, telekomunikační sítě, poskytovatele IT a malé a střední podniky.
Jejich vyvíjející se scénář: Od sociálního inženýrství k využívání slabin VPN
Útočníci se obvykle spoléhají na phishingové e-maily a zneužívání známých zranitelností VPN k získání přístupu. Historicky tyto útoky zahrnovaly nasazení legitimních nástrojů pro vzdálenou správu – což je charakteristickým znakem operací MuddyWater. Od května 2024 však jejich phishingové e-maily začaly obsahovat nenápadný zadní vrátka známý jako BugSleep (také nazývaný MuddyRot), což ukazuje posun směrem k přizpůsobenějším nástrojům.
Širší arzenál skupiny je rozsáhlý a zahrnuje Blackout, AnchorRat, CannonRat, Neshta a framework Sad C2, který pomáhá šířit zavaděče jako TreasureBox a BlackPearl RAT.
Phishing zůstává prvním krokem
Nejnovější vlna útoků stále začíná škodlivými e-maily, které obsahují přílohy PDF. Tyto PDF soubory odkazují oběti na soubory ke stažení široce používaných nástrojů pro vzdálenou práci, jako jsou Atera, Level, PDQ a SimpleHelp. Jakmile útočníci získají oporu, přejdou k nasazení specializovanějších komponent.
Představujeme Foodera a MuddyVipera
Tato kampaň prominentně využívá zavaděč s názvem Fooder, který je určen k dešifrování a spuštění backdooru MuddyViper založeného na C/C++. Varianty Fooderu byly také spatřeny při distribuci tunelovacích nástrojů go-socks5 a open-source nástroje HackBrowserData pro sběr dat z prohlížečů z mnoha platforem (s výjimkou Safari).
Samotný MuddyViper poskytuje rozsáhlou kontrolu, která umožňuje operátorům shromažďovat systémové informace, spouštět soubory a příkazy, přesouvat data dovnitř a ven a krást přihlašovací údaje systému Windows a informace o prohlížeči. Podporuje 20 vestavěných příkazů pro udržení skrytého přístupu. Některé varianty Fooderu se maskují jako klasická hra Snake a spoléhají na zpožděné spuštění, aby se vyhnuly detekci, což je technika, která byla poprvé zaznamenána v září 2025.
Další nástroje pozorované během operace
Výzkumníci také zdokumentovali nasazení několika podpůrných nástrojů určených pro ochranu před perzistencí, krádeží přihlašovacích údajů a sběrem dat:
VAXOne – Backdoor maskovaný jako Veeam, AnyDesk, Xerox nebo aktualizační program OneDrive.
CE-Notes – Nástroj pro krádež dat z prohlížeče, který je navržen tak, aby obešel šifrování vázané na aplikace v Chromu krádeží šifrovacího klíče Local State.
Blub – stealer pro AC/C++, který shromažďuje přihlašovací údaje z Chrome, Edge, Firefoxu a Opery.
LP-Notes – nástroj pro získávání přihlašovacích údajů AC/C++, který zobrazuje podvodnou výzvu zabezpečení systému Windows, aby uživatele oklamal k zadání přihlašovacích údajů.
Spolupráce s Lyceem: Objevuje se operační překrývání
Vyšetřování odhalilo, že aktivity MuddyWater se prolínají s operacemi společnosti Lyceum (známé také jako Hexane, Spirlin nebo Siamesekitten), podskupiny OilRig (APT34) aktivní v regionální kybernetické špionáži nejméně od roku 2018.
Během incidentů identifikovaných na začátku roku 2025 pravděpodobně společnost MuddyWater fungovala jako zprostředkovatel přístupu v izraelské výrobní organizaci nasazením nástrojů pro vzdálenou plochu a přizpůsobeného zavaděče Mimikatz. Ukradené přihlašovací údaje pak pravděpodobně zneužila společnost Lyceum k rozšíření přístupu a převzetí provozní kontroly.
Znamení rostoucí operační zralosti
Zavedení nových komponent, zejména zavaděče Fooder a zadních vrátek MuddyViper, zdůrazňuje významný pokrok v technické a provozní sofistikovanosti MuddyWater. Skupina evidentně investuje do nenápadnějších mechanismů perzistence, efektivnějšího krádeže přihlašovacích údajů a hlubších průzkumných schopností.
Kampaň zdůrazňuje pokračující a rostoucí hrozbu ze strany kybernetických operátorů spojených s Íránem. Jejich kombinace vlastního malwaru, nenápadných zavaděčů, legitimních nástrojů pro vzdálenou správu a spolupráce mezi skupinami naznačuje, že organizace v regionu musí zůstat ve zvýšené pohotovosti a posílit obranu proti stále složitějším strategiím vniknutí.
