Actores de amenazas vinculados al estado iraní han lanzado una nueva serie de ataques contra entidades israelíes en diversos sectores, desplegando una backdoor previamente indocumentada conocida como MuddyViper. La actividad ha sido atribuida a MuddyWater (también conocido como Mango Sandstorm o TA450), un grupo de hacking supuestamente afiliado al Ministerio de Inteligencia y Seguridad (MOIS) de Irán.
Los ataques no solo se centraron en Israel, sino también en una empresa de tecnología con sede en Egipto. Los sectores afectados en Israel incluyen la academia, ingeniería, gobierno local, manufactura, tecnología, transporte y servicios públicos.
Campaña de Ataque de MuddyWater
El grupo MuddyWater es conocido por sus ataques dirigidos y sus TTPs (Técnicas, Tácticas y Procedimientos) consistentes a lo largo del tiempo. Las cadenas de ataque típicas implican:
- Spear-phishing: Envío de correos electrónicos de phishing con archivos PDF adjuntos.
- Explotación de vulnerabilidades: Infiltración en redes mediante la explotación de vulnerabilidades conocidas en la infraestructura VPN.
- Despliegue de herramientas legítimas: Uso de herramientas de administración remota legítimas como Atera, Level, PDQ y SimpleHelp para establecer acceso.
Desde al menos mayo de 2024, las campañas de phishing han comenzado a distribuir una nueva backdoor llamada MuddyViper, junto con el cargador Fooder.
La Backdoor MuddyViper y el Cargador Fooder
La campaña de ataque se distingue por el uso de un cargador llamado Fooder, diseñado para descifrar y ejecutar la backdoor MuddyViper, escrita en C/C++. Los investigadores de ESET revelaron las capacidades de esta nueva amenaza:
- Capacidades de MuddyViper: Recopilación de información del sistema, ejecución de archivos y comandos de shell, transferencia de archivos, exfiltración de credenciales de inicio de sesión de Windows y datos del navegador. La backdoor admite un total de 20 comandos.
- Técnicas de evasión: Variantes de Fooder se disfrazan del clásico juego “Snake” e incorporan ejecución retardada para eludir la detección.
Además del backdoor principal, la campaña ha desplegado proxies de túnel inverso go-socks5 y la utilidad de código abierto HackBrowserData para recolectar datos de navegadores (excluyendo Safari en macOS).
Arsenal de Herramientas de MuddyWater
El grupo MuddyWater utiliza una combinación de malware personalizado y herramientas de código abierto o disponibles públicamente:
- Blackout: Herramienta de administración remota (RAT).
- AnchorRat: RAT con funciones de carga de archivos y ejecución de comandos.
- CannonRat: RAT para recibir comandos y transmitir información.
- Neshta: Virus infector de archivos conocido.
- Sad C2: Marco de comando y control que despliega el cargador TreasureBox y el RAT BlackPearl.
En la campaña reciente, también se han observado otras herramientas de robo de datos:
- VAXOne: Backdoor que se hace pasar por Veeam, AnyDesk, Xerox y el servicio de actualización de OneDrive.
- CE-Notes y Blub: Ladrones de datos del navegador que intentan robar claves de cifrado de navegadores basados en Chromium para exfiltrar credenciales.
- LP-Notes: Ladrón de credenciales en C/C++ que muestra un diálogo falso de seguridad de Windows para engañar a los usuarios.
Fugas de Charming Kitten (APT42)
El informe sobre MuddyWater coincide con revelaciones sobre otro grupo de amenazas iraní, APT42 (conocido como Charming Kitten o Fresh Feline), también activo en ciberespionaje contra Israel.
- Operación SpearSpecter: La Agencia Nacional Digital de Israel (INDA) atribuyó a APT42 ataques dirigidos a individuos y organizaciones de interés.
- Fuga de Documentos: Una filtración masiva de documentos internos por el colectivo anónimo KittenBusters expuso las operaciones de APT35 (Charming Kitten). La información vincula al grupo con el Cuerpo de la Guardia Revolucionaria Islámica (IRGC), específicamente la Unidad 1500.
- Revelaciones Clave: La fuga de documentos revela una estructura de comando burocrática y centralizada, con jerarquías definidas, métricas de rendimiento y seguimiento de actividades diarias. También expuso el código fuente de BellaCiao, una backdoor utilizada en ataques globales.
Conclusión
Esta campaña de MuddyWater, que incluye la nueva backdoor MuddyViper, indica una evolución en la madurez operativa del grupo. El despliegue de componentes no documentados subraya un esfuerzo por mejorar las capacidades de sigilo, persistencia y recolección de credenciales. Las recientes revelaciones sobre APT42 y la estructura de la Unidad 1500 del IRGC resaltan la sofisticación y la naturaleza organizada del ciberespionaje respaldado por el estado iraní.