Porta sul retro di MuddyViper
Una recente ondata di attività di spionaggio ha preso di mira un'ampia gamma di organizzazioni israeliane nei settori accademico, ingegneristico, degli enti locali, manifatturiero, tecnologico, dei trasporti e dei servizi pubblici. L'operazione, attribuita ad attori affiliati allo Stato iraniano, ha introdotto una backdoor precedentemente sconosciuta denominata MuddyViper, segnalando una nuova escalation nelle tattiche del gruppo. Anche un'azienda tecnologica con sede in Egitto è stata presa di mira, con la campagna in corso da fine settembre 2024 a metà marzo 2025.
Sommario
Un avversario familiare con capacità in espansione
Gli attacchi sono stati collegati a MuddyWater, noto anche come Mango Sandstorm, Static Kitten o TA450, un gruppo che si ritiene operi sotto la supervisione del Ministero dell'Intelligence e della Sicurezza iraniano. Attivo almeno dal 2017, MuddyWater vanta una lunga storia di spionaggio e azioni distruttive, tra cui precedenti campagne POWERSTATS e l'uso del ransomware PowGoop durante l'Operazione Quicksand.
Secondo i risultati pubblicati, il gruppo continua a colpire obiettivi israeliani che spaziano dalle autorità locali al trasporto aereo, dal turismo ai servizi sanitari, dalle reti di telecomunicazioni ai fornitori di servizi IT e alle PMI.
Il loro manuale in evoluzione: dall’ingegneria sociale allo sfruttamento delle debolezze delle VPN
L'autore della minaccia si affida in genere a e-mail di spear-phishing e all'abuso di vulnerabilità VPN note per ottenere l'accesso. Storicamente, queste intrusioni comportavano l'implementazione di strumenti di amministrazione remota legittimi, un tratto distintivo delle operazioni di MuddyWater. Da maggio 2024, tuttavia, le loro e-mail di phishing hanno iniziato a diffondere una backdoor furtiva nota come BugSleep (chiamata anche MuddyRot), a dimostrazione di un passaggio verso strumenti più personalizzati.
L'arsenale più ampio del gruppo è vasto e comprende Blackout, AnchorRat, CannonRat, Neshta e il framework Sad C2, che aiuta a diffondere loader come TreasureBox e BlackPearl RAT.
Il phishing resta il primo passo
L'ultima ondata di attacchi inizia ancora con e-mail dannose contenenti allegati PDF. Questi PDF indirizzano le vittime verso download di strumenti remoti ampiamente utilizzati come Atera, Level, PDQ e SimpleHelp. Una volta ottenuto un punto d'appoggio, gli aggressori passano a implementare componenti più specializzati.
Presentazione di Fooder e MuddyViper
Questa campagna presenta in primo piano un loader chiamato Fooder, progettato per decifrare ed eseguire la backdoor MuddyViper basata su C/C++. Varianti di Fooder sono state viste anche distribuire utility di tunneling go-socks5 e lo strumento open source HackBrowserData per raccogliere dati del browser da numerose piattaforme (ad eccezione di Safari).
MuddyViper stesso garantisce un controllo completo, consentendo agli operatori di raccogliere dettagli di sistema, eseguire file e comandi, spostare dati in entrata e in uscita e rubare credenziali di Windows e informazioni del browser. Supporta 20 comandi integrati per mantenere l'accesso nascosto. Alcune varianti di Fooder si mascherano come il classico gioco Snake e si affidano all'esecuzione ritardata per eludere il rilevamento, una tecnica notata per la prima volta nel settembre 2025.
Strumenti aggiuntivi osservati nell’operazione
I ricercatori hanno anche documentato l'implementazione di diverse utilità di supporto progettate per la persistenza, il furto di credenziali e la raccolta dati:
VAXOne: una backdoor mascherata da Veeam, AnyDesk, Xerox o OneDrive Updater.
CE-Notes – Uno strumento per il furto di dati del browser progettato per aggirare la crittografia associata all'app di Chrome rubando la chiave di crittografia dello stato locale.
Blub – programma di ladro di AC/C++ che raccoglie i dati di accesso da Chrome, Edge, Firefox e Opera.
LP-Notes – Strumento di raccolta credenziali AC/C++ che visualizza un prompt di sicurezza di Windows fraudolento per indurre gli utenti a immettere i propri dati di accesso.
Collaborazione con Lyceum: emerge una sovrapposizione operativa
L'indagine ha rivelato che l'attività di MuddyWater si è intersecata con le operazioni di Lyceum (noto anche come Hexane, Spirlin o Siamesekitten), un sottogruppo di OilRig (APT34) attivo nello spionaggio informatico regionale almeno dal 2018.
Durante gli incidenti identificati all'inizio del 2025, MuddyWater ha probabilmente agito come broker di accesso iniziale all'interno di un'organizzazione manifatturiera israeliana, implementando strumenti di desktop remoto e un caricatore Mimikatz personalizzato. Le credenziali rubate sono state poi probabilmente sfruttate da Lyceum per espandere l'accesso e assumere il controllo operativo.
Un segno di crescente maturità operativa
L'introduzione di nuovi componenti, in particolare il caricatore Fooder e la backdoor MuddyViper, evidenzia un notevole progresso nella sofisticatezza tecnica e operativa di MuddyWater. Il gruppo sta chiaramente investendo in meccanismi di persistenza più furtivi, in un furto di credenziali più efficiente e in capacità di ricognizione più approfondite.
La campagna evidenzia una minaccia continua e crescente da parte di operatori informatici affiliati all'Iran. La loro combinazione di malware personalizzati, caricatori stealth, strumenti legittimi di amministrazione remota e collaborazione tra gruppi suggerisce che le organizzazioni nella regione debbano rimanere in stato di massima allerta e rafforzare le difese contro strategie di intrusione sempre più complesse.
