MuddyViper Backdoor
Ang isang kamakailang alon ng aktibidad ng espiya ay nakatuon sa isang malawak na hanay ng mga organisasyong Israeli sa buong akademya, engineering, lokal na pamahalaan, pagmamanupaktura, teknolohiya, transportasyon, at mga kagamitan. Ang operasyon, na iniuugnay sa mga aktor na nakahanay sa estado ng Iran, ay nagpakilala ng isang dating hindi kilalang backdoor na tinatawag na MuddyViper, na naghudyat ng isang bagong pagtaas sa mga taktika ng grupo. Isang kumpanya ng teknolohiyang nakabase sa Egypt ang nahuli din sa mga crosshair, kung saan tumatakbo ang kampanya mula sa huling bahagi ng Setyembre 2024 hanggang kalagitnaan ng Marso 2025.
Talaan ng mga Nilalaman
Isang Pamilyar na Kalaban na May Lumalawak na Kakayahan
Ang mga pag-atake ay na-link sa MuddyWater, na kilala rin bilang Mango Sandstorm, Static Kitten, o TA450, isang grupo na tinasa upang gumana sa ilalim ng Iran's Ministry of Intelligence and Security. Aktibo mula noong hindi bababa sa 2017, ang MuddyWater ay may mahabang tala ng paniniktik at mga mapanirang aksyon, kabilang ang mga naunang POWERSTATS na kampanya at ang paggamit ng PowGoop ransomware sa panahon ng Operation Quicksand.
Ayon sa nai-publish na mga natuklasan, patuloy na sinasalakay ng grupo ang mga target ng Israeli na sumasaklaw sa mga lokal na awtoridad, transportasyon sa himpapawid, turismo, serbisyong pangkalusugan, mga network ng telecom, mga tagapagbigay ng IT, at mga SME.
Ang Kanilang Nagbabagong Playbook: Mula sa Social Engineering hanggang sa Pagsasamantala sa Mga Kahinaan ng VPN
Karaniwang umaasa ang aktor ng banta sa mga email na spear-phishing at ang pang-aabuso sa mga kilalang kahinaan ng VPN para makapasok. Sa kasaysayan, ang mga panghihimasok na ito ay nagsasangkot ng pag-deploy ng mga lehitimong remote na tool sa pangangasiwa — isang tanda ng mga operasyon ng MuddyWater. Mula noong Mayo 2024, gayunpaman, ang kanilang mga email sa phishing ay nagsimulang maghatid ng isang patagong backdoor na kilala bilang BugSleep (tinatawag ding MuddyRot), na nagpapakita ng pagbabago patungo sa mas naka-customize na tooling.
Ang mas malawak na arsenal ng grupo ay malawak at may kasamang Blackout, AnchorRat, CannonRat, Neshta, at ang Sad C2 framework, na tumutulong sa pagpapalaganap ng mga loader gaya ng TreasureBox at BlackPearl RAT.
Nananatiling Unang Hakbang ang Phishing
Nagsisimula pa rin ang pinakabagong attack wave sa mga nakakahamak na email na naglalaman ng mga PDF attachment. Itinuturo ng mga PDF na ito ang mga biktima sa mga pag-download para sa malawakang ginagamit na remote na tool gaya ng Atera, Level, PDQ, at SimpleHelp. Kapag nakakuha na ng foothold, lilipat ang mga umaatake upang mag-deploy ng mas espesyal na mga bahagi.
Ipinapakilala ang Fooder at MuddyViper
Ang campaign na ito ay kitang-kitang nagtatampok ng loader na pinangalanang Fooder, na binuo para i-decrypt at i-execute ang backdoor ng MuddyViper na nakabase sa C/C++. Nakita rin ang mga variant ng Fooder na namamahagi ng mga go-socks5 tunneling utilities at ang open-source na tool na HackBrowserData upang mag-harvest ng data ng browser mula sa maraming platform (maliban sa Safari).
Ang MuddyViper mismo ay nagbibigay ng malawak na kontrol, na nagbibigay-daan sa mga operator na mangalap ng mga detalye ng system, magpatakbo ng mga file at command, maglipat ng data papasok at palabas, at magnakaw ng mga kredensyal ng Windows at impormasyon ng browser. Sinusuportahan nito ang 20 built-in na command para sa pagpapanatili ng nakatagong pag-access. Ang ilang variant ng Fooder ay nagpapakilala sa kanilang mga sarili bilang klasikong laro ng Snake at umaasa sa naantalang pagpapatupad para sa sidestep detection, isang diskarteng unang nabanggit noong Setyembre 2025.
Mga Karagdagang Tool na Naobserbahan sa Operasyon
Naidokumento din ng mga mananaliksik ang deployment ng ilang mga sumusuportang utility na idinisenyo para sa pagtitiyaga, pagnanakaw ng kredensyal, at pagkolekta ng data:
VAXOne – Isang backdoor na nagpapanggap bilang Veeam, AnyDesk, Xerox, o ang OneDrive updater.
CE-Notes – Isang tool sa pagnanakaw ng data ng browser na idinisenyo upang i-bypass ang app-bound encryption ng Chrome sa pamamagitan ng pagnanakaw ng susi sa pag-encrypt ng Local State.
Blub – AC/C++ stealer na nangongolekta ng data sa pag-log in mula sa Chrome, Edge, Firefox, at Opera.
LP-Notes – AC/C++ credential-harvesting tool na nagpapakita ng mapanlinlang na prompt ng Windows Security upang linlangin ang mga user sa pagpasok ng kanilang mga detalye sa pag-login.
Pakikipagtulungan sa Lyceum: Lumilitaw ang Isang Operasyon na Overlap
Ang pagsisiyasat ay nagsiwalat na ang aktibidad ng MuddyWater ay sumalungat sa mga operasyon ng Lyceum (kilala rin bilang Hexane, Spirlin, o Siamesekitten), isang subgroup ng OilRig (APT34) na aktibo sa panrehiyong cyber espionage mula noong hindi bababa sa 2018.
Sa mga insidenteng natukoy noong unang bahagi ng 2025, malamang na kumilos ang MuddyWater bilang isang paunang access broker sa loob ng isang Israeli manufacturing organization sa pamamagitan ng pag-deploy ng mga remote desktop tool at isang customized na Mimikatz loader. Ang mga ninakaw na kredensyal ay malamang na ginamit ng Lyceum upang palawakin ang pag-access at kunin ang kontrol sa pagpapatakbo.
Isang Tanda ng Pagtaas ng Kapanahunan ng Operasyon
Ang pagpapakilala ng mga bagong bahagi, lalo na ang Fooder loader at MuddyViper backdoor, ay nagha-highlight ng isang kapansin-pansing pag-unlad sa teknikal at pagpapatakbo ng MuddyWater na sopistikado. Ang grupo ay malinaw na namumuhunan sa mas nakatago na mga mekanismo ng pagtitiyaga, mas mahusay na pagnanakaw ng kredensyal, at mas malalim na mga kakayahan sa reconnaissance.
Binibigyang-diin ng kampanya ang isang patuloy at lumalawak na banta mula sa mga cyber operator na nakahanay sa Iran. Ang kanilang timpla ng custom na malware, palihim na loader, lehitimong remote na mga tool sa pangangasiwa, at cross-group na pakikipagtulungan ay nagmumungkahi na ang mga organisasyon sa rehiyon ay dapat manatili sa mas mataas na alerto at palakasin ang mga depensa laban sa lalong kumplikadong mga diskarte sa panghihimasok.
