MuddyViper Achterdeur
Een recente golf van spionageactiviteiten richtte zich op een breed scala aan Israëlische organisaties in de academische wereld, de techniek, lokale overheden, de productiesector, de technologiesector, de transportsector en de nutssector. De operatie, toegeschreven aan Iraanse staatsactoren, introduceerde een voorheen onbekende achterdeur genaamd MuddyViper, wat een nieuwe escalatie in de tactieken van de groep aankondigde. Ook een in Egypte gevestigd technologiebedrijf werd in het vizier genomen. De campagne liep van eind september 2024 tot medio maart 2025.
Inhoudsopgave
Een bekende tegenstander met steeds grotere mogelijkheden
De aanvallen zijn in verband gebracht met MuddyWater, ook bekend als Mango Sandstorm, Static Kitten of TA450, een groep waarvan wordt aangenomen dat ze onder het Iraanse Ministerie van Inlichtingen en Veiligheid valt. MuddyWater is al sinds minstens 2017 actief en heeft een lange geschiedenis van spionage en destructieve acties, waaronder eerdere POWERSTATS-campagnes en het gebruik van PowGoop-ransomware tijdens Operatie Quicksand.
Volgens gepubliceerde bevindingen blijft de groep Israëlische doelen aanvallen, waaronder lokale overheden, luchtvaart, toerisme, gezondheidszorg, telecommunicatienetwerken, IT-aanbieders en het midden- en kleinbedrijf.
Hun evoluerende handboek: van social engineering tot het uitbuiten van VPN-zwakheden
De aanvaller maakt doorgaans gebruik van spearphishing-e-mails en misbruik van bekende VPN-kwetsbaarheden om binnen te dringen. Voorheen maakten deze inbraken gebruik van legitieme tools voor extern beheer – een kenmerk van MuddyWaters activiteiten. Sinds mei 2024 zijn hun phishing-e-mails echter begonnen met het verspreiden van een sluwe backdoor genaamd BugSleep (ook wel MuddyRot genoemd), wat een verschuiving laat zien naar meer op maat gemaakte tools.
Het bredere arsenaal van de groep is uitgebreid en omvat Blackout, AnchorRat, CannonRat, Neshta en het Sad C2-framework, dat helpt bij het verspreiden van loaders zoals TreasureBox en de BlackPearl RAT.
Phishing blijft de eerste stap
De nieuwste aanvalsgolf begint nog steeds met kwaadaardige e-mails met pdf-bijlagen. Deze pdf's verwijzen slachtoffers naar downloads voor veelgebruikte tools voor online aanvallen, zoals Atera, Level, PDQ en SimpleHelp. Zodra de aanvallers voet aan de grond hebben gekregen, gaan ze over op het implementeren van meer gespecialiseerde componenten.
Maak kennis met Fooder en MuddyViper
Deze campagne draait vooral om een loader genaamd Fooder, ontwikkeld om de C/C++-gebaseerde MuddyViper-backdoor te decoderen en uit te voeren. Varianten van Fooder zijn ook gezien die go-socks5 tunneling-utilities en de open-source HackBrowserData-tool verspreiden om browsergegevens van talloze platforms te verzamelen (met uitzondering van Safari).
MuddyViper biedt uitgebreide controle, waardoor operators systeemgegevens kunnen verzamelen, bestanden en opdrachten kunnen uitvoeren, gegevens kunnen in- en uitlezen en Windows-referenties en browserinformatie kunnen stelen. Het ondersteunt 20 ingebouwde opdrachten voor het behouden van verborgen toegang. Sommige Fooder-varianten vermommen zich als de klassieke Snake-game en maken gebruik van vertraagde uitvoering om detectie te omzeilen, een techniek die voor het eerst werd opgemerkt in september 2025.
Extra hulpmiddelen waargenomen tijdens de operatie
Onderzoekers documenteerden ook de inzet van verschillende ondersteunende hulpprogramma's die zijn ontworpen voor persistentie, diefstal van inloggegevens en gegevensverzameling:
VAXOne – Een achterdeurtje dat zich voordoet als Veeam, AnyDesk, Xerox of de OneDrive-updater.
CE-Notes – Een tool voor browsergegevensdiefstal waarmee de app-gebonden encryptie van Chrome kan worden omzeild door de lokale status-encryptiesleutel te stelen.
Blub – AC/C++-stealer die inloggegevens verzamelt van Chrome, Edge, Firefox en Opera.
LP-Notes – een hulpmiddel voor het verzamelen van AC/C++-inloggegevens dat een frauduleuze Windows-beveiligingsprompt weergeeft om gebruikers ertoe te verleiden hun inloggegevens in te voeren.
Samenwerking met Lyceum: operationele overlapping ontstaat
Uit het onderzoek bleek dat de activiteiten van MuddyWater raakvlakken hadden met de activiteiten van Lyceum (ook bekend als Hexane, Spirlin of Siamesekitten), een subgroep van OilRig (APT34) die sinds ten minste 2018 actief is in regionale cyberespionage.
Tijdens de incidenten die begin 2025 werden vastgesteld, fungeerde MuddyWater waarschijnlijk als eerste toegangsmakelaar binnen een Israëlische productieorganisatie door remote desktop tools en een aangepaste Mimikatz-loader te implementeren. De gestolen inloggegevens werden vervolgens waarschijnlijk door Lyceum gebruikt om de toegang uit te breiden en de operationele controle over te nemen.
Een teken van toenemende operationele volwassenheid
De introductie van nieuwe componenten, met name de Fooder-loader en de MuddyViper-backdoor, onderstreept een opmerkelijke vooruitgang in de technische en operationele verfijning van MuddyWater. De groep investeert duidelijk in stealthier persistentiemechanismen, efficiëntere diefstal van inloggegevens en uitgebreidere verkenningsmogelijkheden.
De campagne onderstreept de aanhoudende en toenemende dreiging van cyberaanvallen met Iraanse banden. Hun combinatie van op maat gemaakte malware, stealth loaders, legitieme tools voor beheer op afstand en samenwerking tussen groepen suggereert dat organisaties in de regio extra alert moeten blijven en hun verdediging tegen steeds complexere inbraakstrategieën moeten versterken.
