MuddyViper Bakdörr
En nyligen genomförd våg av spionageverksamhet har riktat in sig på ett brett spektrum av israeliska organisationer inom akademi, teknik, lokal förvaltning, tillverkning, teknologi, transport och allmännyttiga företag. Operationen, som tillskrivs iranska statsanslutna aktörer, introducerade en tidigare okänd bakdörr kallad MuddyViper, vilket signalerade en ny eskalering i gruppens taktik. Ett Egyptenbaserat teknikföretag hamnade också i siktet, med kampanjen som pågick från slutet av september 2024 till mitten av mars 2025.
Innehållsförteckning
En välbekant motståndare med växande förmågor
Attackerna har kopplats till MuddyWater, även känt som Mango Sandstorm, Static Kitten eller TA450, en grupp som bedöms verka under Irans underrättelse- och säkerhetsministerium. MuddyWater har varit aktivt sedan åtminstone 2017 och har en lång meritlista av spionage och destruktiva handlingar, inklusive tidigare POWERSTATS-kampanjer och användningen av PowGoop-ransomware under Operation Quicksand.
Enligt publicerade resultat fortsätter gruppen att attackera israeliska mål som spänner över lokala myndigheter, flygtransporter, turism, hälso- och sjukvårdstjänster, telekomnätverk, IT-leverantörer och små och medelstora företag.
Deras utvecklande strategi: Från social ingenjörskonst till att utnyttja VPN-svagheter
Hotaktören förlitar sig vanligtvis på spear-phishing-mejl och missbruk av kända VPN-sårbarheter för att ta sig in. Historiskt sett involverade dessa intrång distribution av legitima verktyg för fjärradministration – ett kännetecken för MuddyWaters verksamhet. Sedan maj 2024 har dock deras phishing-mejl börjat leverera en smygande bakdörr som kallas BugSleep (även kallad MuddyRot), vilket visar en förskjutning mot mer anpassade verktyg.
Gruppens bredare arsenal är omfattande och inkluderar Blackout, AnchorRat, CannonRat, Neshta och Sad C2-ramverket, vilket hjälper till att sprida laddare som TreasureBox och BlackPearl RAT.
Nätfiske är fortfarande det första steget
Den senaste attackvågen börjar fortfarande med skadliga e-postmeddelanden som innehåller PDF-bilagor. Dessa PDF-filer hänvisar offren till nedladdningar för allmänt använda fjärrverktyg som Atera, Level, PDQ och SimpleHelp. När angriparna väl fått fotfäste går de vidare till att distribuera mer specialiserade komponenter.
Vi presenterar Fooder och MuddyViper
Denna kampanj har en framträdande roll i att ladda programmet Fooder, byggt för att dekryptera och exekvera den C/C++-baserade MuddyViper-bakdörren. Varianter av Fooder har också setts distribuera tunnelverktygen go-socks5 och det öppna källkodsverktyget HackBrowserData för att samla in webbläsardata från ett flertal plattformar (med undantag för Safari).
MuddyViper ger i sig omfattande kontroll, vilket gör det möjligt för operatörer att samla in systeminformation, köra filer och kommandon, flytta data in och ut samt stjäla Windows-inloggningsuppgifter och webbläsarinformation. Den stöder 20 inbyggda kommandon för att upprätthålla dold åtkomst. Vissa Fooder-varianter förklär sig som det klassiska Snake-spelet och förlitar sig på fördröjd exekvering för att kringgå detektering, en teknik som först noterades i september 2025.
Ytterligare verktyg som observerats under operationen
Forskare dokumenterade också implementeringen av flera stödjande verktyg utformade för persistens, stöld av autentiseringsuppgifter och datainsamling:
VAXOne – En bakdörr som utger sig för att vara Veeam, AnyDesk, Xerox eller OneDrive-uppdateraren.
CE-Notes – Ett verktyg för stöld av webbläsardata utformat för att kringgå Chromes appbundna kryptering genom att stjäla den lokala krypteringsnyckeln.
Blub – AC/C++-stöld som samlar in inloggningsdata från Chrome, Edge, Firefox och Opera.
LP-Notes – AC/C++-verktyg för insamling av autentiseringsuppgifter som visar en bedräglig Windows-säkerhetsfråga för att lura användare att ange sina inloggningsuppgifter.
Samarbete med Lyceum: En operativ överlappning framträder
Utredningen visade att MuddyWaters verksamhet hade en överlappning med verksamheten hos Lyceum (även känt som Hexane, Spirlin eller Siamesekitten), en undergrupp till OilRig (APT34) som varit aktiv inom regional cyberspionage sedan åtminstone 2018.
Under incidenter som identifierades i början av 2025 agerade MuddyWater sannolikt som en initial åtkomstförmedlare inom en israelisk tillverkningsorganisation genom att driftsätta fjärrskrivbordsverktyg och en anpassad Mimikatz-laddare. De stulna inloggningsuppgifterna utnyttjades sedan sannolikt av Lyceum för att utöka åtkomsten och ta över operativ kontroll.
Ett tecken på ökande operativ mognad
Introduktionen av nya komponenter, särskilt Fooder-laddaren och MuddyViper-bakdörren, belyser en anmärkningsvärd utveckling av MuddyWaters tekniska och operativa sofistikering. Gruppen investerar tydligt i mer smygande persistensmekanismer, effektivare autentiseringsstöld och djupare rekognoseringskapacitet.
Kampanjen understryker ett fortsatt och växande hot från cyberoperatörer med kopplingar till Iran. Deras blandning av anpassad skadlig kod, smygande laddare, legitima verktyg för fjärradministration och samarbete mellan grupper tyder på att organisationer i regionen måste förbli i ökad beredskap och stärka försvaret mot alltmer komplexa intrångsstrategier.
