Organizaciones israelíes de los sectores académico, de ingeniería, de gobierno local, de manufactura, de tecnología, de transporte y de servicios públicos se han convertido en objetivos de una nueva ola de ataques por parte de actores estatales-nación iraníes que distribuyeron una puerta trasera previamente indocumentada llamada MuddyViper.
ESET cree que esta actividad es obra de un grupo de hackers conocido como MuddyWater (también conocido como Mango Sandstorm o TA450), y se considera que el grupo está vinculado al Ministerio de Inteligencia y Seguridad de Irán (MOIS). El ataque también tuvo como objetivo una empresa de tecnología con sede en Egipto.
El grupo de hackers salió a la luz por primera vez en noviembre de 2017, cuando la 42.ª Unidad de Palo Alto Networks detalló ataques dirigidos contra Oriente Medio utilizando una puerta trasera personalizada llamada POWERSTATS entre febrero y octubre de ese año. También es conocido por llevar a cabo ataques devastadores contra organizaciones israelíes utilizando una variante del ransomware Thanos llamada PowGoop como parte de una campaña llamada Operación Quicksand.
Según datos de la Dirección Nacional Cibernética de Israel (INCD), los ataques de Muddy Water se dirigieron a los gobiernos locales, la aviación civil, el turismo, la atención sanitaria, las telecomunicaciones, la tecnología de la información y las pequeñas y medianas empresas (PYME) del país.
Las cadenas de ataques típicas incluyen técnicas como el phishing o la explotación de vulnerabilidades conocidas en la infraestructura VPN para infiltrarse en la red e implementar herramientas legítimas de administración remota. Éste es el enfoque que MuddyWater ha favorecido durante muchos años. Sin embargo, al menos desde mayo de 2024, las campañas de phishing han generado una puerta trasera conocida como BugSleep (también conocida como MuddyRot).
Otras herramientas notables que tiene la empresa incluyen Blackout, una herramienta de administración remota (RAT). AnchorRat, una RAT que proporciona funcionalidad de carga de archivos y ejecución de comandos. CannonRat, una RAT que puede recibir comandos y enviar información. Neshta, un conocido virus que infecta archivos. Sad C2 es un marco de comando y control (C2) que proporciona un cargador llamado TreasureBox para implementar BlackPearl RAT para control remoto y un binario conocido como Pheonix para descargar cargas útiles desde servidores C2.
Este grupo de ciberespionaje tiene un historial de atacar una amplia gama de industrias, particularmente gobiernos e infraestructura crítica, utilizando una combinación de malware personalizado y herramientas disponibles públicamente. La última secuencia de ataque, al igual que las campañas anteriores, comienza con un correo electrónico de phishing que contiene un archivo PDF adjunto que enlaza con una herramienta de escritorio remota legítima como Atera, Level, PDQ o SimpleHelp.
Esta campaña se caracteriza por el uso de un cargador llamado Fooder diseñado para descifrar y ejecutar la puerta trasera MuddyViper basada en C/C++. Alternativamente, también se sabe que el cargador C/C++ implementa el proxy de túnel inverso go-socks5 y una utilidad de código abierto llamada HackBrowserData que recopila datos de varios navegadores excepto Safari en Apple macOS.
«MuddyViper permite a los atacantes recopilar información del sistema, ejecutar archivos y comandos de shell, transferir archivos y filtrar credenciales de inicio de sesión de Windows y datos del navegador», dijo la firma eslovaca de ciberseguridad en un informe compartido con The Hacker News.
Esta puerta trasera admite un total de 20 comandos, lo que facilita el acceso encubierto y el control de los sistemas infectados. Muchas variantes de Fooder disfrazan el clásico juego Snake e incorporan ejecución retrasada para evitar la detección. El uso de Fooder por parte de MuddyWater fue observado por primera vez por Group-IB en septiembre de 2025.
En el ataque también se utilizan las siguientes herramientas:
Una puerta trasera que se hace pasar por los servicios de actualización VAXOne, Veeam, AnyDesk, Xerox y OneDrive. CE-Notes, un ladrón de datos del navegador que intenta eludir el cifrado vinculante de aplicaciones de Google Chrome robando claves de cifrado almacenadas en el archivo de estado local de los navegadores basados en Chromium (similitudes con el proyecto de código abierto ChromElevator). Un ladrón de datos del navegador C/C++ que recopila datos de inicio de sesión de los usuarios de Blub, Google Chrome, Microsoft Edge, Mozilla Firefox y Opera. Notas LP. Un ladrón de credenciales escrito en C/C++ que muestra cuadros de diálogo de seguridad de Windows falsos para engañar a los usuarios para que ingresen su nombre de usuario y contraseña del sistema.
«Esta campaña marca una evolución en la madurez de las óperas y canciones de Muddy Water», dijo ESET. «El despliegue de componentes previamente no documentados, como el cargador Fooder y la puerta trasera MuddyViper, demuestra los esfuerzos para mejorar las capacidades de sigilo, persistencia y recolección de credenciales».
encantador gatito goteando
La divulgación se produce semanas después de que la Agencia Digital Nacional de Israel (INDA) identificara a un actor de amenazas iraní conocido como APT42 como responsable de ataques dirigidos a personas y organizaciones de interés en una campaña centrada en el espionaje llamada SpearSpecter. Se cree que APT42 se superpone con otro grupo de hackers rastreado como APT35 (también conocido como Charming Kitten y Fresh Feline).
El incidente también se produce tras una importante filtración de documentos internos que exponen las actividades cibernéticas de un grupo de piratas informáticos que han penetrado sistemas diseñados para identificar y matar a personas consideradas una amenaza para Irán, según el activista británico-iraní Nariman Gharib. Está asociado con el Cuerpo de la Guardia Revolucionaria Islámica (IRGC), específicamente su ala de contrainteligencia conocida como Unidad 1500.
«La historia parece ser un guión de terror escrito en PowerShell y farsi», dijo FalconFeeds, y agregó que la filtración reveló «un mapa completo de la División Cibernética Unidad 1500 del IRGC de Irán».
Los volcados de datos fueron publicados en GitHub en septiembre y octubre de 2025 por un grupo anónimo llamado KittenBusters, pero sus motivos aún no están claros. En particular, la agencia ha identificado a Abbas Rallovi, también conocido como Abbas Hosseini, como el líder de la operación y afirma que la fuerza de piratería está controlada a través de una red de empresas fachada.
Quizás una de las otras revelaciones más importantes fue la publicación del código fuente completo relacionado con BellaCiao. Bitdefender informó que BellaCiao se estaba utilizando en abril de 2023 en ataques dirigidos a empresas en los Estados Unidos, Europa, Medio Oriente e India. Gharib dijo que la puerta trasera fue obra de un equipo que operaba desde la base Shuhada de Teherán.
«Los materiales filtrados revelan una arquitectura de comando estructurada, en lugar de un colectivo de hackers descentralizado y una organización con jerarquías claras, supervisión del desempeño y disciplina burocrática», dijo Domain Tools.
«La filtración de APT35 expone un aparato de ciberinteligencia burocratizado que es un brazo organizado del estado iraní con jerarquías, flujos de trabajo y métricas de rendimiento definidos. Los documentos revelan un ecosistema autónomo en el que el personal registra las actividades diarias, cuantifica las tasas de éxito del phishing y realiza un seguimiento de las horas de reconocimiento, mientras que el personal técnico prueba y utiliza exploits contra las vulnerabilidades actuales».
Source link
