Cửa sau MuddyViper

Một làn sóng hoạt động gián điệp gần đây đã nhắm vào một loạt các tổ chức Israel trong nhiều lĩnh vực học thuật, kỹ thuật, chính quyền địa phương, sản xuất, công nghệ, giao thông vận tải và tiện ích. Chiến dịch này, được cho là do các tác nhân liên kết với nhà nước Iran thực hiện, đã tạo ra một cửa hậu chưa từng được biết đến trước đây có tên là MuddyViper, báo hiệu một sự leo thang mới trong chiến thuật của nhóm này. Một công ty công nghệ có trụ sở tại Ai Cập cũng nằm trong tầm ngắm, với chiến dịch kéo dài từ cuối tháng 9 năm 2024 đến giữa tháng 3 năm 2025.

Một kẻ thù quen thuộc với khả năng mở rộng

Các cuộc tấn công này được cho là có liên quan đến MuddyWater, còn được gọi là Mango Sandstorm, Static Kitten, hay TA450, một nhóm được đánh giá là hoạt động dưới sự quản lý của Bộ Tình báo và An ninh Iran. Hoạt động ít nhất từ năm 2017, MuddyWater có một hồ sơ dài về các hoạt động gián điệp và phá hoại, bao gồm các chiến dịch POWERSTATS trước đó và việc sử dụng phần mềm tống tiền PowGoop trong Chiến dịch Quicksand.

Theo những phát hiện đã công bố, nhóm này tiếp tục tấn công các mục tiêu của Israel bao gồm chính quyền địa phương, vận tải hàng không, du lịch, dịch vụ y tế, mạng lưới viễn thông, nhà cung cấp CNTT và các doanh nghiệp vừa và nhỏ.

Chiến thuật ngày càng tiến hóa của chúng: Từ kỹ thuật xã hội đến khai thác điểm yếu của VPN

Kẻ tấn công thường sử dụng email lừa đảo và lợi dụng các lỗ hổng VPN đã biết để xâm nhập. Trước đây, những vụ xâm nhập này liên quan đến việc triển khai các công cụ quản trị từ xa hợp pháp — một đặc điểm nổi bật trong hoạt động của MuddyWater. Tuy nhiên, kể từ tháng 5 năm 2024, các email lừa đảo của chúng đã bắt đầu cung cấp một cửa hậu bí mật được gọi là BugSleep (còn gọi là MuddyRot), cho thấy sự chuyển dịch sang các công cụ tùy chỉnh hơn.

Kho vũ khí rộng hơn của nhóm này rất lớn và bao gồm Blackout, AnchorRat, CannonRat, Neshta và khuôn khổ Sad C2, giúp truyền bá các trình tải như TreasureBox và BlackPearl RAT.

Lừa đảo vẫn là bước đầu tiên

Làn sóng tấn công mới nhất vẫn bắt đầu bằng các email độc hại chứa tệp đính kèm PDF. Những tệp PDF này dẫn nạn nhân đến các trang web tải xuống các công cụ từ xa được sử dụng rộng rãi như Atera, Level, PDQ và SimpleHelp. Khi đã chiếm được chỗ đứng, kẻ tấn công sẽ chuyển sang triển khai các thành phần chuyên biệt hơn.

Giới thiệu Fooder và MuddyViper

Chiến dịch này nổi bật với một trình tải có tên Fooder, được xây dựng để giải mã và thực thi backdoor MuddyViper dựa trên C/C++. Các biến thể của Fooder cũng được phát hiện đang phân phối các tiện ích đào hầm go-socks5 và công cụ HackBrowserData nguồn mở để thu thập dữ liệu trình duyệt từ nhiều nền tảng (ngoại trừ Safari).

Bản thân MuddyViper cung cấp khả năng kiểm soát toàn diện, cho phép người dùng thu thập thông tin hệ thống, chạy tệp và lệnh, di chuyển dữ liệu vào và ra, cũng như đánh cắp thông tin đăng nhập Windows và thông tin trình duyệt. Nó hỗ trợ 20 lệnh tích hợp để duy trì quyền truy cập ẩn. Một số biến thể Fooder ngụy trang thành trò chơi Rắn săn mồi cổ điển và dựa vào cơ chế thực thi chậm để tránh bị phát hiện, một kỹ thuật được ghi nhận lần đầu tiên vào tháng 9 năm 2025.

Các công cụ bổ sung được quan sát trong hoạt động

Các nhà nghiên cứu cũng ghi lại việc triển khai một số tiện ích hỗ trợ được thiết kế cho mục đích duy trì, đánh cắp thông tin đăng nhập và thu thập dữ liệu:

VAXOne – Một cửa hậu ngụy trang thành Veeam, AnyDesk, Xerox hoặc trình cập nhật OneDrive.

CE-Notes – Một công cụ đánh cắp dữ liệu trình duyệt được thiết kế để bỏ qua mã hóa liên kết ứng dụng của Chrome bằng cách đánh cắp khóa mã hóa Local State.

Blub – Công cụ đánh cắp dữ liệu AC/C++ thu thập dữ liệu đăng nhập từ Chrome, Edge, Firefox và Opera.

LP-Notes – Công cụ thu thập thông tin đăng nhập AC/C++ hiển thị lời nhắc bảo mật Windows gian lận để lừa người dùng nhập thông tin đăng nhập.

Hợp tác với Lyceum: Sự chồng chéo hoạt động xuất hiện

Cuộc điều tra cho thấy hoạt động của MuddyWater có liên quan đến hoạt động của Lyceum (còn được gọi là Hexane, Spirlin hoặc Siamesekitten), một nhóm nhỏ của OilRig (APT34) hoạt động trong hoạt động gián điệp mạng khu vực kể từ ít nhất năm 2018.

Trong các sự cố được xác định vào đầu năm 2025, MuddyWater có thể đã hoạt động như một đơn vị môi giới truy cập ban đầu bên trong một tổ chức sản xuất của Israel bằng cách triển khai các công cụ máy tính để bàn từ xa và trình tải Mimikatz tùy chỉnh. Thông tin đăng nhập bị đánh cắp sau đó có thể đã được Lyceum sử dụng để mở rộng quyền truy cập và nắm quyền kiểm soát hoạt động.

Một dấu hiệu của sự trưởng thành hoạt động ngày càng tăng

Việc giới thiệu các thành phần mới, đặc biệt là trình tải Fooder và cửa hậu MuddyViper, đánh dấu bước tiến đáng kể về mặt kỹ thuật và vận hành tinh vi của MuddyWater. Nhóm này rõ ràng đang đầu tư vào các cơ chế ẩn náu bí mật hơn, khả năng đánh cắp thông tin đăng nhập hiệu quả hơn và khả năng trinh sát sâu hơn.

Chiến dịch này nhấn mạnh mối đe dọa liên tục và ngày càng gia tăng từ các hacker liên kết với Iran. Sự kết hợp giữa phần mềm độc hại tùy chỉnh, trình tải ẩn, công cụ quản trị từ xa hợp pháp và sự hợp tác giữa các nhóm cho thấy các tổ chức trong khu vực phải luôn cảnh giác cao độ và tăng cường phòng thủ trước các chiến lược xâm nhập ngày càng phức tạp.