MuddyViper bakdør
En nylig bølge av spionasjeaktivitet har rettet seg mot et bredt spekter av israelske organisasjoner innen akademia, ingeniørfag, lokalforvaltning, produksjon, teknologi, transport og forsyningsvirksomhet. Operasjonen, som tilskrives iranske statsallierte aktører, introduserte en tidligere ukjent bakdør kalt MuddyViper, som signaliserte en ny eskalering i gruppens taktikk. Et egyptisk teknologiselskap ble også fanget i søkelyset, med kampanjen som pågikk fra slutten av september 2024 til midten av mars 2025.
Innholdsfortegnelse
En kjent motstander med økende kapasiteter
Angrepene har vært knyttet til MuddyWater, også kjent som Mango Sandstorm, Static Kitten eller TA450, en gruppe som vurderes å operere under Irans departement for etterretning og sikkerhet. MuddyWater har vært aktiv siden minst 2017 og har en lang historie med spionasje og destruktive handlinger, inkludert tidligere POWERSTATS-kampanjer og bruk av PowGoop-ransomware under Operasjon Quicksand.
Ifølge publiserte funn fortsetter gruppen å angripe israelske mål som spenner over lokale myndigheter, lufttransport, turisme, helsetjenester, telekomnettverk, IT-leverandører og små og mellomstore bedrifter.
Deres utviklende strategi: Fra sosial manipulering til utnyttelse av VPN-svakheter
Trusselaktøren er vanligvis avhengig av spear-phishing-e-poster og misbruk av kjente VPN-sårbarheter for å få tilgang. Historisk sett involverte disse inntrengingene utplassering av legitime verktøy for fjernadministrasjon – et kjennetegn på MuddyWaters virksomhet. Siden mai 2024 har imidlertid phishing-e-postene deres begynt å levere en skjult bakdør kjent som BugSleep (også kalt MuddyRot), som viser et skifte mot mer tilpassede verktøy.
Gruppens bredere arsenal er omfattende og inkluderer Blackout, AnchorRat, CannonRat, Neshta og Sad C2-rammeverket, som bidrar til å spre lastere som TreasureBox og BlackPearl RAT.
Phishing er fortsatt det første trinnet
Den siste angrepsbølgen starter fortsatt med ondsinnede e-poster som inneholder PDF-vedlegg. Disse PDF-filene peker ofrene mot nedlastinger for mye brukte eksterne verktøy som Atera, Level, PDQ og SimpleHelp. Når angriperne har fått fotfeste, går de over til å distribuere mer spesialiserte komponenter.
Introduksjon av Fooder og MuddyViper
Denne kampanjen har en fremtredende rolle i en laster kalt Fooder, bygget for å dekryptere og kjøre den C/C++-baserte MuddyViper-bakdøren. Varianter av Fooder har også blitt sett distribuere tunnelverktøyene go-socks5 og det åpne kildekode-verktøyet HackBrowserData for å samle nettleserdata fra en rekke plattformer (med unntak av Safari).
MuddyViper gir i seg selv omfattende kontroll, slik at operatører kan samle systemdetaljer, kjøre filer og kommandoer, flytte data inn og ut, og stjele Windows-legitimasjon og nettleserinformasjon. Den støtter 20 innebygde kommandoer for å opprettholde skjult tilgang. Noen Fooder-varianter forkler seg som det klassiske Snake-spillet og er avhengige av forsinket utførelse for å unngå deteksjon, en teknikk som først ble notert i september 2025.
Ytterligere verktøy observert i operasjonen
Forskere dokumenterte også utrullingen av flere støtteverktøy designet for persistens, legitimasjonstyveri og datainnsamling:
VAXOne – En bakdør som utgir seg for å være Veeam, AnyDesk, Xerox eller OneDrive-oppdateringen.
CE-Notes – Et verktøy for tyveri av nettleserdata som er utviklet for å omgå Chromes appbundne kryptering ved å stjele krypteringsnøkkelen for lokal tilstand.
Blub – AC/C++-tyver som samler innloggingsdata fra Chrome, Edge, Firefox og Opera.
LP-Notes – AC/C++-verktøy for innsamling av legitimasjon som viser en falsk Windows-sikkerhetsledetekst for å lure brukere til å oppgi innloggingsdetaljene sine.
Samarbeid med Lyceum: En operasjonell overlapping dukker opp
Etterforskningen avdekket at MuddyWaters aktivitet krysset driften av Lyceum (også kjent som Hexane, Spirlin eller Siamesekitten), en undergruppe av OilRig (APT34) som har vært aktiv i regional cyberspionasje siden minst 2018.
Under hendelser identifisert tidlig i 2025, fungerte MuddyWater sannsynligvis som en innledende tilgangsmegler i en israelsk produksjonsorganisasjon ved å distribuere verktøy for eksternt skrivebord og en tilpasset Mimikatz-laster. De stjålne påloggingsinformasjonene ble deretter sannsynligvis utnyttet av Lyceum til å utvide tilgang og ta operativ kontroll.
Et tegn på økende operasjonell modenhet
Introduksjonen av nye komponenter, spesielt Fooder-lasteren og MuddyViper-bakdøren, fremhever en bemerkelsesverdig fremgang i MuddyWaters tekniske og operasjonelle sofistikasjon. Gruppen investerer tydelig i mer diskrete persistensmekanismer, mer effektiv legitimasjonstyveri og dypere rekognoseringsmuligheter.
Kampanjen understreker en fortsatt og voksende trussel fra cyberoperatører med tilknytning til Iran. Deres blanding av tilpasset skadelig programvare, snikende lasteprogrammer, legitime verktøy for fjernadministrasjon og samarbeid på tvers av grupper antyder at organisasjoner i regionen må forbli på økt beredskap og forsterke forsvaret mot stadig mer komplekse inntrengingsstrategier.
