Porta dos fundos MuddyViper
Uma recente onda de espionagem teve como alvo uma ampla gama de organizações israelenses nos setores acadêmico, de engenharia, governamental, industrial, tecnológico, de transporte e de serviços públicos. A operação, atribuída a agentes alinhados ao Estado iraniano, introduziu uma porta dos fundos até então desconhecida, apelidada de MuddyViper, sinalizando uma nova escalada nas táticas do grupo. Uma empresa de tecnologia com sede no Egito também foi atingida, com a campanha ocorrendo do final de setembro de 2024 até meados de março de 2025.
Índice
Um adversário familiar com capacidades crescentes.
Os ataques foram associados ao MuddyWater, também conhecido como Mango Sandstorm, Static Kitten ou TA450, um grupo que, segundo avaliações, opera sob a tutela do Ministério da Inteligência e Segurança do Irã. Ativo desde pelo menos 2017, o MuddyWater possui um longo histórico de espionagem e ações destrutivas, incluindo campanhas anteriores do POWERSTATS e o uso do ransomware PowGoop durante a Operação Quicksand.
Segundo informações divulgadas, o grupo continua a atacar alvos israelenses que abrangem autoridades locais, transporte aéreo, turismo, serviços de saúde, redes de telecomunicações, provedores de TI e pequenas e médias empresas.
Seu manual em constante evolução: da engenharia social à exploração das vulnerabilidades das VPNs.
Normalmente, o agente malicioso utiliza e-mails de spear-phishing e explora vulnerabilidades conhecidas de VPN para obter acesso. Historicamente, essas intrusões envolviam a implantação de ferramentas legítimas de administração remota — uma característica marcante das operações da MuddyWater. Desde maio de 2024, no entanto, seus e-mails de phishing passaram a distribuir um backdoor furtivo conhecido como BugSleep (também chamado de MuddyRot), demonstrando uma mudança para ferramentas mais personalizadas.
O arsenal mais amplo do grupo é extenso e inclui Blackout, AnchorRat, CannonRat, Neshta e o framework Sad C2, que ajuda a propagar carregadores como TreasureBox e o BlackPearl RAT.
O phishing continua sendo o primeiro passo.
A onda de ataques mais recente ainda começa com e-mails maliciosos contendo anexos em PDF. Esses PDFs direcionam as vítimas para downloads de ferramentas remotas amplamente utilizadas, como Atera, Level, PDQ e SimpleHelp. Uma vez que conquistam acesso inicial, os atacantes passam a implantar componentes mais especializados.
Apresentando Fooder e MuddyViper
Esta campanha destaca um carregador chamado Fooder, desenvolvido para descriptografar e executar o backdoor MuddyViper, baseado em C/C++. Variantes do Fooder também foram observadas distribuindo utilitários de tunelamento go-socks5 e a ferramenta de código aberto HackBrowserData para coletar dados de navegadores de diversas plataformas (com exceção do Safari).
O próprio MuddyViper concede amplo controle, permitindo que os operadores coletem detalhes do sistema, executem arquivos e comandos, movam dados para dentro e para fora do sistema e roubem credenciais do Windows e informações do navegador. Ele suporta 20 comandos integrados para manter o acesso oculto. Algumas variantes do Fooder se disfarçam como o clássico jogo da cobrinha e dependem da execução atrasada para evitar a detecção, uma técnica observada pela primeira vez em setembro de 2025.
Ferramentas adicionais observadas na operação
Os pesquisadores também documentaram a implementação de diversas ferramentas de suporte projetadas para persistência, roubo de credenciais e coleta de dados:
VAXOne – Um backdoor disfarçado de Veeam, AnyDesk, Xerox ou atualizador do OneDrive.
CE-Notes – Uma ferramenta de roubo de dados do navegador projetada para burlar a criptografia vinculada ao aplicativo do Chrome, roubando a chave de criptografia do Estado Local.
Blub – um programa em AC/C++ que rouba dados de login do Chrome, Edge, Firefox e Opera.
LP-Notes – Ferramenta AC/C++ para coleta de credenciais que exibe um aviso de segurança do Windows fraudulento para enganar os usuários e levá-los a inserir seus dados de login.
Colaboração com o Lyceum: surge uma sobreposição operacional.
A investigação revelou que a atividade da MuddyWater se cruzava com as operações da Lyceum (também conhecida como Hexane, Spirlin ou Siamesekitten), um subgrupo da OilRig (APT34) ativo em espionagem cibernética regional desde pelo menos 2018.
Durante os incidentes identificados no início de 2025, a MuddyWater provavelmente atuou como intermediária de acesso inicial dentro de uma organização de manufatura israelense, implantando ferramentas de acesso remoto e um carregador Mimikatz personalizado. As credenciais roubadas provavelmente foram então utilizadas pela Lyceum para expandir o acesso e assumir o controle operacional.
Um sinal de crescente maturidade operacional
A introdução de novos componentes, em particular o carregador Fooder e o backdoor MuddyViper, destaca uma notável evolução na sofisticação técnica e operacional da MuddyWater. O grupo está claramente investindo em mecanismos de persistência mais furtivos, roubo de credenciais mais eficiente e capacidades de reconhecimento mais profundas.
A campanha destaca uma ameaça contínua e crescente por parte de operadores cibernéticos alinhados ao Irã. Sua combinação de malware personalizado, carregadores furtivos, ferramentas legítimas de administração remota e colaboração entre grupos sugere que as organizações na região devem permanecer em estado de alerta máximo e reforçar as defesas contra estratégias de intrusão cada vez mais complexas.
