El equipo de investigación de ESET identificó una nueva operación del grupo de ciberespionaje MuddyWater —alineado con Irán— que tiene como principales objetivos a organizaciones de infraestructura crítica en Israel, además de un caso confirmado en Egipto. La campaña introdujo un nuevo backdoor denominado MuddyViper, desplegado mediante Fooder, un loader que se hace pasar por el clásico videojuego Snake.
ESET, compañía líder en detección proactiva de amenazas, reveló nuevas actividades de MuddyWater dirigidas a entidades de los sectores tecnología, ingeniería, manufactura, administración local y educación en Israel, además de una víctima en Egipto. El backdoor MuddyViper permitió a los atacantes recopilar información del sistema, ejecutar archivos y comandos, transferir datos y extraer credenciales de inicio de sesión de Windows y navegadores. Para robar credenciales, la campaña también utilizó herramientas adicionales, incluida Fooder, diseñada para camuflarse como una versión del juego Snake.
MuddyWater —también conocido como Mango Sandstorm o TA450— opera desde al menos 2017 y es reconocido por sus ataques persistentes contra gobiernos y sectores críticos. Se caracteriza por utilizar malware personalizado, herramientas públicas y por mantener vínculos con el Ministerio de Inteligencia y Seguridad Nacional de Irán.
Acceso inicial y técnicas empleadas
El acceso inicial se produjo mediante correos de spearphishing que incluían archivos PDF con enlaces a instaladores de herramientas de supervisión remota (RMM) alojados en servicios gratuitos como OneHub, Egnyte o Mega. Estos enlaces distribuían software como Atera, Level, PDQ y SimpleHelp. La campaña también empleó el backdoor VAX-One, nombrado así por las aplicaciones legítimas que suplanta: Veeam, AnyDesk, Xerox y OneDrive.
ESET destaca que esta operación incorporó un conjunto de herramientas no documentadas anteriormente, diseñadas para mejorar la evasión, el sigilo y la persistencia. Fooder, por ejemplo, incorpora retrasos basados en la mecánica de Snake y el uso intensivo de la API Sleep, métodos pensados para dificultar el análisis automatizado y retrasar la detección.
Además, los desarrolladores adoptaron CNG, la API criptográfica más reciente de Windows, un recurso poco común fuera de los grupos vinculados a Irán. A diferencia de campañas anteriores, los atacantes evitaron interactuar directamente mediante comandos, una práctica que suele dejar evidencias textuales. Este cambio refleja una mayor precisión operativa y un enfoque más estratégico.
Herramientas de robo de credenciales
El conjunto posterior al compromiso incluyó múltiples stealers, entre ellos:
- CE-Notes, orientado a navegadores basados en Chromium.
-LP-Notes, encargado de preparar y validar credenciales robadas.
- Blub, que sustrae datos de Chrome, Edge, Firefox y Opera.
Contexto y evolución del grupo
Desde su exposición pública en 2017 por Unit 42, MuddyWater ha mantenido un patrón claro: campañas de ciberespionaje basadas en ingeniería social, documentos maliciosos y despliegue de malware modular dirigido principalmente a entidades de Oriente Medio.
Entre sus operaciones más conocidas destacan:
-Operación Quicksand (2020), dirigida a entidades gubernamentales y de telecomunicaciones en Israel.
- Ataques dirigidos a actores políticos en Turquía, que evidenciaron su enfoque geopolítico y su habilidad para adaptar tácticas al contexto local.
ESET también documentó campañas en Arabia Saudita (2023) y otra en 2025 con coincidencias tácticas con Lyceum (subgrupo de OilRig), lo que sugiere que MuddyWater podría actuar como intermediario de acceso inicial para otros grupos iraníes.
ESET: mayor sofisticación y persistencia
“Esta campaña refleja una evolución en la madurez operativa de MuddyWater. El despliegue de componentes no documentados y técnicas inspiradas en mecánicas de videojuegos evidencia un esfuerzo por mejorar la evasión y el robo de credenciales. Prevemos que MuddyWater continuará siendo uno de los actores más destacados alineados con Irán, con campañas reforzadas por tácticas y herramientas cada vez más avanzadas”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Para más información sobre esta investigación, visite:
Publicar un comentario