MuddyViper Backdoor
Un val recent de activități de spionaj a vizat o gamă largă de organizații israeliene din domeniile academic, ingineresc, administrație locală, producție, tehnologie, transporturi și utilități. Operațiunea, atribuită unor actori aliniați cu statul iranian, a introdus o ușă secretă necunoscută anterior, numită MuddyViper, semnalând o nouă escaladare a tacticilor grupării. O firmă de tehnologie cu sediul în Egipt a fost, de asemenea, prinsă în vizor, campania desfășurându-se de la sfârșitul lunii septembrie 2024 până la mijlocul lunii martie 2025.
Cuprins
Un adversar familiar cu capacități în expansiune
Atacurile au fost legate de MuddyWater, cunoscut și sub numele de Mango Sandstorm, Static Kitten sau TA450, un grup despre care se estimează că operează sub Ministerul Informațiilor și Securității din Iran. Activ cel puțin din 2017, MuddyWater are un istoric îndelungat de spionaj și acțiuni distructive, inclusiv campanii POWERSTATS anterioare și utilizarea ransomware-ului PowGoop în timpul Operațiunii Quicksand.
Conform constatărilor publicate, gruparea continuă să atace ținte israeliene din rândul autorităților locale, transportului aerian, turismului, serviciilor de sănătate, rețelelor de telecomunicații, furnizorilor de IT și IMM-urilor.
Manualul lor în evoluție: de la inginerie socială la exploatarea punctelor slabe ale VPN-urilor
Actorul amenințător se bazează de obicei pe e-mailuri de tip spear-phishing și pe abuzul vulnerabilităților VPN cunoscute pentru a intra. Din punct de vedere istoric, aceste intruziuni au implicat implementarea unor instrumente legitime de administrare la distanță - o caracteristică a operațiunilor MuddyWater. Cu toate acestea, din mai 2024, e-mailurile lor de phishing au început să ofere un backdoor ascuns, cunoscut sub numele de BugSleep (numit și MuddyRot), arătând o trecere către instrumente mai personalizate.
Arsenalul mai amplu al grupului este extins și include Blackout, AnchorRat, CannonRat, Neshta și framework-ul Sad C2, care ajută la propagarea încărcătoarelor precum TreasureBox și BlackPearl RAT.
Phishing-ul rămâne primul pas
Cel mai recent val de atacuri începe tot cu e-mailuri rău intenționate care conțin atașamente PDF. Aceste PDF-uri direcționează victimele către descărcări pentru instrumente la distanță utilizate pe scară largă, cum ar fi Atera, Level, PDQ și SimpleHelp. Odată ce au câștigat teren, atacatorii trec la implementarea unor componente mai specializate.
Prezentarea lui Fooder și MuddyViper
Această campanie prezintă în mod proeminent un încărcător numit Fooder, construit pentru a decripta și executa backdoor-ul MuddyViper bazat pe C/C++. Variante ale Fooder au fost, de asemenea, observate distribuind utilitare de tunelare go-socks5 și instrumentul open-source HackBrowserData pentru a colecta date de browser de pe numeroase platforme (cu excepția Safari).
MuddyViper în sine oferă un control extins, permițând operatorilor să colecteze detalii despre sistem, să execute fișiere și comenzi, să mute date în și din browser și să fure acreditări Windows și informații despre browser. Acesta acceptă 20 de comenzi încorporate pentru menținerea accesului ascuns. Unele variante Fooder se deghizează în jocul clasic Snake și se bazează pe execuția întârziată pentru detectarea pasilor evitați, o tehnică observată pentru prima dată în septembrie 2025.
Instrumente suplimentare observate în timpul operațiunii
Cercetătorii au documentat, de asemenea, implementarea mai multor utilități de suport concepute pentru persistență, furt de acreditări și colectare de date:
VAXOne – O ușă ascunsă care se deghizează în Veeam, AnyDesk, Xerox sau programul de actualizare OneDrive.
CE-Notes – Un instrument de furt de date din browser, conceput pentru a ocoli criptarea aplicațiilor Chrome prin furtul cheii de criptare Local State.
Blub – un program de tip „stealer” AC/C++ care colectează date de autentificare din Chrome, Edge, Firefox și Opera.
LP-Notes – instrument de colectare a acreditărilor AC/C++ care afișează o solicitare frauduloasă de securitate Windows pentru a păcăli utilizatorii să introducă datele de conectare.
Colaborarea cu Lyceum: Apare o suprapunere operațională
Ancheta a relevat că activitatea MuddyWater s-a intersectat cu operațiunile Lyceum (cunoscută și sub numele de Hexane, Spirlin sau Siamesekitten), un subgrup al OilRig (APT34) activ în spionajul cibernetic regional cel puțin din 2018.
În timpul incidentelor identificate la începutul anului 2025, MuddyWater a acționat probabil ca broker de acces inițial în cadrul unei organizații de producție israeliene, implementând instrumente desktop la distanță și un încărcător Mimikatz personalizat. Acreditările furate au fost apoi probabil utilizate de Lyceum pentru a extinde accesul și a prelua controlul operațional.
Un semn al maturității operaționale crescânde
Introducerea de noi componente, în special a încărcătorului Fooder și a backdoor-ului MuddyViper, evidențiază un progres notabil în sofisticarea tehnică și operațională a MuddyWater. Grupul investește în mod clar în mecanisme de persistență mai discrete, furt de acreditări mai eficient și capacități de recunoaștere mai avansate.
Campania subliniază o amenințare continuă și în expansiune din partea operatorilor cibernetici aliniați cu Iranul. Combinația lor de programe malware personalizate, încărcătoare ascunse, instrumente legitime de administrare la distanță și colaborare între grupuri sugerează că organizațiile din regiune trebuie să rămână în alertă sporită și să consolideze apărarea împotriva strategiilor de intruziune din ce în ce mai complexe.
