Se dice que el grupo de hackers iraní conocido como Muddywater está detrás de una nueva campaña que afectará al menos a nueve organizaciones en nueve países de cuatro continentes en el primer trimestre de 2026.
Según el equipo Threat Hunter de Symantec y Carbon Black, la actividad se centró en la fabricación industrial y electrónica, entidades del sector público y educativo, servicios financieros y servicios profesionales. Entre las víctimas se encontraba un importante fabricante de productos electrónicos de Corea del Sur, y los atacantes pasaron una semana dentro de la red de la empresa en febrero de 2026.
Aeropuertos internacionales en Medio Oriente, fabricantes industriales en el sudeste asiático y proveedores de servicios financieros en América Latina también fueron nombrados como parte de la operación de espionaje más amplia.
«Los atacantes se basaron en gran medida en la descarga de DLL utilizando archivos binarios Fortemedia (fmapp.exe) y SentinelOne (sentinelmemoryscanner.exe) firmados legítimamente para ejecutar archivos DLL maliciosos mientras se hacían pasar por software benigno», dijo el equipo de ciberseguridad de Broadcom.
El uso de ‘fmapp.exe’ para descargar ‘fmapp.dll’ ha sido documentado previamente por Group-IB en relación con otra campaña de MuddyWater con nombre en código Operación Olalampo. Según Huntress, esta DLL contiene código para conectarse a una dirección IP controlada por un atacante («157.20.182(.)49»).
Por otro lado, la explotación de ‘sentinelmemoryscanner.exe’, un binario asociado a un producto de seguridad, se considera una elección deliberada, ya que le permite evadir la detección basada en firmas. Está diseñado para descargar una DLL maliciosa llamada ‘sentinelagentcore.dll’.
Ambas DLL incluyen una herramienta de código abierto llamada ChromElevator que desvía contraseñas, cookies y datos de tarjetas de pago de navegadores basados en Chromium, evitando efectivamente las protecciones de cifrado vinculado a aplicaciones (ABE).
Un aspecto notable de este ataque es el uso de scripts Node.js para iniciar código PowerShell que realiza operaciones de descubrimiento y recopilación de información. En al menos un caso, se descubrió que los atacantes habían organizado datos robados en sendit(.)sh, un servicio público de transferencia de archivos.
«Se utilizó una cadena de implantes basada en node.exe para eliminar scripts de PowerShell que realizaban reconocimiento, captura de pantalla, robo de colmena SAM, escalada de privilegios y túnel de proxy inverso SOCKS5», dijeron Symantec y Carbon Black.
También proporciona los dos pares de descarga de DLL antes mencionados que brindan al atacante un túnel secreto para retransmitir el tráfico e iniciar ChromElevator. Este ataque también se caracteriza por un intento de deshacerse de credenciales que permiten el movimiento lateral a través de la red.
En esta intrusión dirigida a un fabricante de productos electrónicos de Corea del Sur, se cree que MuddyWater realizó repetidos reconocimientos basados en PowerShell y volvió a ejecutar dos archivos binarios para garantizar que mantuviera el acceso a los hosts comprometidos. Se desconoce el vector de acceso inicial utilizado para infiltrarse en la organización.
«Este ritmo es nuevamente consistente con la actividad del implante, más que con la presencia continua del operador», dijeron los investigadores. «La historia de esa campaña muestra un claro movimiento hacia operaciones más silenciosas y disciplinadas. Ninguna de estas técnicas es nueva individualmente, pero en combinación proporcionan evidencia adicional de que la higiene operativa ha mejorado significativamente con respecto al gusano que conocíamos hace unos años».
Esto se produce después de que el Consejo Europeo impusiera sanciones a la empresa iraní Emmennet Pasargad por piratear un servicio de SMS sueco, acceder y vender el contenido de una base de datos de suscriptores franceses y difundir desinformación a través de vallas publicitarias comprometidas durante los Juegos Olímpicos de París de 2024.
La empresa se llama Shahid Shushtari y está afiliada al Comando de Electrónica Cibernética del Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC-CEC), según el Departamento de Estado de Estados Unidos. Se ha rastreado con los nombres Cobalt Obelisk, Cotton Sandstorm, Haywire Kitten (anteriormente ChaoticOrchestra), Marnanbridge y UNC5866.
«Los miembros de Shahid Shushtari han causado importantes daños económicos y trastornos a las empresas y agencias gubernamentales estadounidenses a través de operaciones coordinadas de información cibernética y habilitada por la cibernética», dijo el Departamento de Estado en diciembre de 2025. «Estas operaciones se han dirigido a múltiples sectores críticos de infraestructura, incluidos noticias, transporte marítimo, viajes, energía, finanzas y comunicaciones en Estados Unidos, Europa y Oriente Medio».
Los piratas informáticos respaldados por Irán también participaron en una campaña de robo dirigida a organizaciones en los Estados Unidos, Israel, Arabia Saudita y Turquía a finales de marzo y principios de abril de 2026, y al menos dos víctimas estadounidenses también fueron objeto de operaciones destructivas que incluyeron la eliminación de particiones y la copia de seguridad de datos.
Estos incidentes fueron reivindicados por un proiraní llamado Ababil de Minab, pero un nuevo análisis de Gambit Security encuentra que la infraestructura de la campaña está vinculada al Ministerio de Inteligencia y Seguridad de Irán (MOIS).
Otros objetivos incluyen organizaciones del sector de medios israelí, instituciones de educación superior israelíes, una correduría de seguros turca y varios sitios web adicionales en los sectores de restaurantes, cultura, servicios digitales y noticias.
No se han observado actividades destructivas contra estas víctimas. En estos casos, se ha descubierto que el adversario utiliza una herramienta de extracción y recopilación de archivos C++ personalizada, cuyo nombre interno es FileFiend.
«Este binario enumera unidades locales y recursos compartidos SMB, explora el sistema de archivos y puede enviar archivos a un servidor C2 (comando y control) codificado», dijeron los investigadores de Gambit Security Eyal Sela y Nir Varon en un informe publicado hoy.
Alternativamente, los datos de interés se comprimen en un archivo RAR en un host dentro del entorno de la víctima, se cargan en el sitio web público de la organización en la raíz web, desde donde se extraen utilizando el acelerador de descarga de la línea de comandos de Axel y se canalizan a través de una cadena de proxy.
Source link
