درب پشتی MuddyViper

موج اخیر فعالیت‌های جاسوسی، طیف گسترده‌ای از سازمان‌های اسرائیلی در حوزه‌های دانشگاهی، مهندسی، دولت محلی، تولید، فناوری، حمل و نقل و خدمات رفاهی را هدف قرار داده است. این عملیات که به عوامل وابسته به دولت ایران نسبت داده می‌شود، یک در پشتی ناشناخته به نام MuddyViper را معرفی کرد که نشان‌دهنده تشدید جدید تاکتیک‌های این گروه است. یک شرکت فناوری مستقر در مصر نیز در این حمله گرفتار شد و این کمپین از اواخر سپتامبر 2024 تا اواسط مارس 2025 ادامه داشت.

دشمنی آشنا با قابلیت‌های رو به گسترش

این حملات به گروه MuddyWater، که با نام‌های Mango Sandstorm، Static Kitten یا TA450 نیز شناخته می‌شود، مرتبط دانسته شده است. این گروه که حداقل از سال ۲۰۱۷ فعال بوده، سابقه طولانی در جاسوسی و اقدامات مخرب، از جمله کمپین‌های قبلی POWERSTATS و استفاده از باج‌افزار PowGoop در طول عملیات Quicksand دارد.

طبق یافته‌های منتشر شده، این گروه همچنان به حمله به اهداف اسرائیلی از جمله مقامات محلی، حمل و نقل هوایی، گردشگری، خدمات درمانی، شبکه‌های مخابراتی، ارائه دهندگان خدمات فناوری اطلاعات و شرکت‌های کوچک و متوسط ادامه می‌دهد.

کتاب راهنمای در حال تکامل آنها: از مهندسی اجتماعی تا سوءاستفاده از نقاط ضعف VPN

این عامل تهدید معمولاً برای ورود به سیستم، به ایمیل‌های فیشینگ هدفمند و سوءاستفاده از آسیب‌پذیری‌های شناخته‌شده VPN متکی است. از نظر تاریخی، این نفوذها شامل استقرار ابزارهای مدیریت از راه دور قانونی بوده‌اند - که مشخصه عملیات MuddyWater است. با این حال، از ماه مه 2024، ایمیل‌های فیشینگ آنها شروع به ارائه یک درب پشتی مخفی به نام BugSleep (که MuddyRot نیز نامیده می‌شود) کرده‌اند که نشان دهنده تغییر به سمت ابزارهای سفارشی‌تر است.

زرادخانه گسترده‌تر این گروه بسیار گسترده است و شامل Blackout، AnchorRat، CannonRat، Neshta و چارچوب Sad C2 می‌شود که به انتشار لودرهایی مانند TreasureBox و BlackPearl RAT کمک می‌کند.

فیشینگ همچنان اولین قدم است

موج جدید حملات همچنان با ایمیل‌های مخربی آغاز می‌شود که حاوی پیوست‌های PDF هستند. این PDFها قربانیان را به سمت دانلود ابزارهای از راه دور پرکاربرد مانند Atera، Level، PDQ و SimpleHelp سوق می‌دهند. پس از اینکه مهاجمان جای پایی پیدا کردند، به سمت استقرار اجزای تخصصی‌تر حرکت می‌کنند.

معرفی Fooder و MuddyViper

این کمپین به طور برجسته دارای یک لودر به نام Fooder است که برای رمزگشایی و اجرای درب پشتی MuddyViper مبتنی بر C/C++ ساخته شده است. همچنین مشاهده شده است که انواع Fooder ابزارهای تونل سازی go-socks5 و ابزار متن باز HackBrowserData را برای برداشت داده‌های مرورگر از پلتفرم‌های متعدد (به استثنای Safari) توزیع می‌کنند.

MuddyViper خود کنترل گسترده‌ای را اعطا می‌کند و به اپراتورها امکان می‌دهد جزئیات سیستم را جمع‌آوری کنند، فایل‌ها و دستورات را اجرا کنند، داده‌ها را به داخل و خارج منتقل کنند و اعتبارنامه‌های ویندوز و اطلاعات مرورگر را سرقت کنند. این بدافزار از 20 دستور داخلی برای حفظ دسترسی پنهان پشتیبانی می‌کند. برخی از انواع Fooder خود را به شکل بازی کلاسیک Snake درمی‌آورند و برای جلوگیری از شناسایی، به اجرای تأخیری متکی هستند، تکنیکی که اولین بار در سپتامبر 2025 مشاهده شد.

ابزارهای اضافی مشاهده شده در عملیات

محققان همچنین استقرار چندین ابزار پشتیبانی را که برای ماندگاری، سرقت اطلاعات کاربری و جمع‌آوری داده‌ها طراحی شده‌اند، مستند کرده‌اند:

VAXOne - یک درِ پشتی که خود را به شکل Veeam، AnyDesk، Xerox یا به‌روزرسانی‌کننده‌ی OneDrive نشان می‌دهد.

CE-Notes – ابزاری برای سرقت داده‌های مرورگر که برای دور زدن رمزگذاری وابسته به برنامه کروم با دزدیدن کلید رمزگذاری Local State طراحی شده است.

Blub - یک دزد AC/C++ که اطلاعات ورود به سیستم را از کروم، اج، فایرفاکس و اپرا جمع‌آوری می‌کند.

LP-Notes – ابزاری برای جمع‌آوری اطلاعات احراز هویت AC/C++ که یک پیام امنیتی جعلی ویندوز نمایش می‌دهد تا کاربران را فریب دهد تا اطلاعات ورود خود را وارد کنند.

همکاری با لیسئوم: همپوشانی عملیاتی پدیدار می‌شود

تحقیقات نشان داد که فعالیت MuddyWater با عملیات Lyceum (که با نام‌های Hexane، Spirlin یا Siamesekitten نیز شناخته می‌شود)، زیرگروهی از OilRig (APT34) که حداقل از سال ۲۰۱۸ در جاسوسی سایبری منطقه‌ای فعال بوده است، تلاقی داشته است.

در جریان حوادث شناسایی‌شده در اوایل سال ۲۰۲۵، MuddyWater احتمالاً با استقرار ابزارهای ریموت دسکتاپ و یک بارگذار سفارشی Mimikatz، به عنوان یک کارگزار دسترسی اولیه در داخل یک سازمان تولیدی اسرائیلی عمل کرده است. اعتبارنامه‌های سرقت‌شده احتمالاً توسط Lyceum برای گسترش دسترسی و به دست گرفتن کنترل عملیاتی مورد استفاده قرار گرفته‌اند.

نشانه ای از افزایش بلوغ عملیاتی

معرفی اجزای جدید، به ویژه لودر Fooder و درب پشتی MuddyViper، پیشرفت قابل توجهی را در پیچیدگی فنی و عملیاتی MuddyWater نشان می‌دهد. این گروه به وضوح در حال سرمایه‌گذاری روی مکانیسم‌های پایداری مخفیانه‌تر، سرقت کارآمدتر اعتبارنامه‌ها و قابلیت‌های شناسایی عمیق‌تر است.

این کمپین، تهدید مداوم و رو به گسترش اپراتورهای سایبری وابسته به ایران را برجسته می‌کند. ترکیبی از بدافزارهای سفارشی، ابزارهای مخفی‌کاری، ابزارهای مدیریت از راه دور قانونی و همکاری بین گروهی، نشان می‌دهد که سازمان‌های منطقه باید در حالت آماده‌باش شدید باقی بمانند و دفاع در برابر استراتژی‌های نفوذ فزاینده و پیچیده را تقویت کنند.