MuddyViper बैकडोर

जासूसी गतिविधियों की एक हालिया लहर ने शिक्षा, इंजीनियरिंग, स्थानीय सरकार, विनिर्माण, प्रौद्योगिकी, परिवहन और उपयोगिताओं से जुड़े इज़राइली संगठनों की एक विस्तृत श्रृंखला को निशाना बनाया है। ईरानी सरकार से जुड़े तत्वों द्वारा संचालित इस अभियान में मड्डीवाइपर नामक एक पहले से अज्ञात बैकडोर का इस्तेमाल किया गया, जो समूह की रणनीति में एक नए उभार का संकेत देता है। मिस्र स्थित एक प्रौद्योगिकी फर्म भी निशाने पर है, जिसका अभियान सितंबर 2024 के अंत से मार्च 2025 के मध्य तक चलेगा।

विस्तारित क्षमताओं वाला एक परिचित प्रतिद्वंद्वी

इन हमलों का संबंध मड्डीवाटर से बताया गया है, जिसे मैंगो सैंडस्टॉर्म, स्टैटिक किटन या TA450 के नाम से भी जाना जाता है। ऐसा माना जाता है कि यह ईरान के खुफिया और सुरक्षा मंत्रालय के अधीन काम करता है। कम से कम 2017 से सक्रिय, मड्डीवाटर का जासूसी और विनाशकारी गतिविधियों का एक लंबा इतिहास रहा है, जिसमें पहले के पावरस्टेट्स अभियान और ऑपरेशन क्विकसैंड के दौरान पॉवगूप रैंसमवेयर का इस्तेमाल शामिल है।

प्रकाशित निष्कर्षों के अनुसार, यह समूह स्थानीय प्राधिकरणों, हवाई परिवहन, पर्यटन, स्वास्थ्य सेवाओं, दूरसंचार नेटवर्क, आईटी प्रदाताओं और एसएमई सहित इजरायली लक्ष्यों पर हमले जारी रखे हुए है।

उनकी विकसित होती कार्यपुस्तिका: सोशल इंजीनियरिंग से लेकर VPN की कमज़ोरियों का दोहन तक

ख़तरा पैदा करने वाला व्यक्ति आमतौर पर स्पीयर-फ़िशिंग ईमेल और ज्ञात VPN कमज़ोरियों का दुरुपयोग करके घुसपैठ करता है। ऐतिहासिक रूप से, इन घुसपैठों में वैध दूरस्थ प्रशासन उपकरणों का इस्तेमाल शामिल था—जो मडीवाटर के संचालन की एक खासियत है। हालाँकि, मई 2024 से, उनके फ़िशिंग ईमेल बगस्लीप (जिसे मडीरोट भी कहा जाता है) नामक एक गुप्त बैकडोर भेजना शुरू कर चुके हैं, जो अधिक अनुकूलित उपकरणों की ओर बदलाव को दर्शाता है।

समूह का व्यापक शस्त्रागार व्यापक है और इसमें ब्लैकआउट, एंकररैट, कैननरैट, नेश्टा और सैड सी2 फ्रेमवर्क शामिल हैं, जो ट्रेजरबॉक्स और ब्लैकपर्ल आरएटी जैसे लोडरों को प्रचारित करने में मदद करता है।

फ़िशिंग अभी भी पहला कदम है

हमलों की नवीनतम लहर अभी भी दुर्भावनापूर्ण ईमेल से शुरू होती है जिनमें पीडीएफ़ अटैचमेंट होते हैं। ये पीडीएफ़ पीड़ितों को एटेरा, लेवल, पीडीक्यू और सिंपलहेल्प जैसे व्यापक रूप से इस्तेमाल किए जाने वाले रिमोट टूल्स के डाउनलोड की ओर ले जाते हैं। एक बार पैर जमा लेने के बाद, हमलावर अधिक विशिष्ट घटकों का इस्तेमाल करने लगते हैं।

फूडर और मड्डीवाइपर का परिचय

इस अभियान में फ़ूडर नामक एक लोडर प्रमुखता से दिखाया गया है, जिसे C/C++‑आधारित मडीवाइपर बैकडोर को डिक्रिप्ट और निष्पादित करने के लिए डिज़ाइन किया गया है। फ़ूडर के विभिन्न रूपों को कई प्लेटफ़ॉर्म (सफ़ारी को छोड़कर) से ब्राउज़र डेटा एकत्र करने के लिए गो-सॉक्स5 टनलिंग यूटिलिटीज़ और ओपन-सोर्स हैकब्राउज़रडेटा टूल वितरित करते हुए भी देखा गया है।

मडीवाइपर स्वयं व्यापक नियंत्रण प्रदान करता है, जिससे ऑपरेटर सिस्टम विवरण एकत्र कर सकते हैं, फ़ाइलें और कमांड चला सकते हैं, डेटा को अंदर-बाहर ले जा सकते हैं, और विंडोज़ क्रेडेंशियल्स और ब्राउज़र जानकारी चुरा सकते हैं। यह गुप्त पहुँच बनाए रखने के लिए 20 अंतर्निहित कमांड का समर्थन करता है। फ़ूडर के कुछ संस्करण खुद को क्लासिक स्नेक गेम के रूप में प्रच्छन्न करते हैं और पहचान से बचने के लिए विलंबित निष्पादन पर निर्भर करते हैं, एक तकनीक जिसे पहली बार सितंबर 2025 में देखा गया था।

ऑपरेशन में देखे गए अतिरिक्त उपकरण

शोधकर्ताओं ने दृढ़ता, क्रेडेंशियल चोरी और डेटा संग्रहण के लिए डिज़ाइन की गई कई सहायक उपयोगिताओं की तैनाती का भी दस्तावेजीकरण किया:

VAXOne - Veeam, AnyDesk, Xerox, या OneDrive अपडेटर के रूप में छद्म रूप धारण करने वाला एक पिछला दरवाजा।

सीई-नोट्स - एक ब्राउज़र-डेटा चोरी उपकरण जिसे स्थानीय स्थिति एन्क्रिप्शन कुंजी चुराकर क्रोम के ऐप-बाउंड एन्क्रिप्शन को बायपास करने के लिए डिज़ाइन किया गया है।

ब्लब - एसी/सी++ चोर जो क्रोम, एज, फायरफॉक्स और ओपेरा से लॉगिन डेटा एकत्र करता है।

एलपी-नोट्स - एसी/सी++ क्रेडेंशियल-हार्वेस्टिंग टूल जो उपयोगकर्ताओं को उनके लॉगिन विवरण दर्ज करने के लिए धोखा देने हेतु एक धोखाधड़ीपूर्ण विंडोज सुरक्षा संकेत प्रदर्शित करता है।

लिसेयुम के साथ सहयोग: एक परिचालन ओवरलैप उभरता है

जांच से पता चला कि मड्डीवाटर की गतिविधि लिसेयुम (जिसे हेक्सेन, स्पिरलिन या सियामीसेकिटन के नाम से भी जाना जाता है) के संचालन से जुड़ी हुई थी, जो ऑयलरिग (APT34) का एक उपसमूह है जो कम से कम 2018 से क्षेत्रीय साइबर जासूसी में सक्रिय है।

2025 की शुरुआत में पहचानी गई घटनाओं के दौरान, मड्डीवाटर ने संभवतः एक इज़राइली निर्माण संगठन के अंदर रिमोट डेस्कटॉप टूल्स और एक अनुकूलित मिमिकैट्ज़ लोडर तैनात करके प्रारंभिक पहुँच दलाल के रूप में काम किया होगा। इसके बाद, चोरी किए गए क्रेडेंशियल्स का उपयोग संभवतः लिसेयुम द्वारा पहुँच बढ़ाने और परिचालन नियंत्रण हासिल करने के लिए किया गया होगा।

बढ़ती परिचालन परिपक्वता का संकेत

नए घटकों, विशेष रूप से फ़ूडर लोडर और मडीवाइपर बैकडोर, का आगमन मडीवाटर की तकनीकी और परिचालन संबंधी परिष्कृतता में उल्लेखनीय प्रगति को दर्शाता है। समूह स्पष्ट रूप से अधिक गुप्त दृढ़ता तंत्र, अधिक कुशल क्रेडेंशियल चोरी और गहन टोही क्षमताओं में निवेश कर रहा है।

यह अभियान ईरान-समर्थित साइबर ऑपरेटरों से लगातार बढ़ते खतरे को रेखांकित करता है। कस्टम मैलवेयर, स्टील्थी लोडर, वैध रिमोट एडमिनिस्ट्रेशन टूल्स और क्रॉस-ग्रुप सहयोग का उनका मिश्रण यह दर्शाता है कि इस क्षेत्र के संगठनों को अत्यधिक सतर्क रहना चाहिए और बढ़ती जटिल घुसपैठ रणनीतियों के खिलाफ सुरक्षा को मजबूत करना चाहिए।