El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, identificó nuevas actividades del grupo de ciberespionaje, MuddyWater, dirigidas principalmente a organizaciones de Israel, con un objetivo confirmado en Egipto. Las víctimas en Israel pertenecían a los sectores de la tecnología, la ingeniería, la fabricación, la administración local y la educación. El nuevo backdoor implementado, MuddyViper, permitió a los atacantes recopilar información del sistema, ejecutar archivos y comandos de shell, transferir archivos y extraer credenciales de inicio de sesión de Windows y datos del navegador. La campaña maliciosa además aprovechó otros programas para robar credenciales. Entre estas herramientas se encuentra Fooder, un cargador personalizado que se hace pasar por el clásico juego Snake.
MuddyWater, también conocido como Mango Sandstorm o TA450, es un grupo de ciberespionaje activo desde al menos 2017. Es conocido por sus ataques persistentes contra el gobierno y los sectores de infraestructura crítica, que a menudo utiliza malware personalizado y herramientas disponibles públicamente, y porque tiene vínculos con el Ministerio de Inteligencia y Seguridad Nacional de Irán.
El acceso inicial de este tipo de ataques se logra habitualmente mediante correos electrónicos de spearphishing -ciberataques dirigidos a individuos u organizaciones específicas con el objetivo de acceder a información confidencial- que contienen archivos PDF con enlaces a instaladores de software de supervisión y gestión remota (RMM) alojados en servicios gratuitos de intercambio de archivos como OneHub, Egnyte o Mega. Estos enlaces conducen a la descarga de herramientas como Atera, Level, PDQ y SimpleHelp. Entre las herramientas desplegadas por los operadores de MuddyWater se encuentra también el backdoor VAX-One, denominado así por los productos legítimos que suplanta: Veeam, AnyDesk, Xerox y el servicio de actualización OneDrive.
ESET afirma que en esta campaña los atacantes desplegaron un conjunto de herramientas personalizadas y no documentadas anteriormente con el objetivo de mejorar la evasión de la defensa y su persistencia. Entre las herramientas utilizadas se encuentra un loader, Fooder, personalizado que fue diseñado para ejecutar MuddyViper, un nuevo backdoor C/C++. Varias de estas versiones de Fooder se hacen pasar por el clásico juego Snake, y su lógica incluye un delay personalizado inspirado en la mecánica del juego, combinado con el uso frecuente de llamadas a la API Sleep. Estas funciones están diseñadas para introducir retrasos en la ejecución y dificultar el análisis dinámico automatizado.
Además, desde ESET detallan que los desarrolladores de MuddyWater adoptaron CNG, la API criptográfica de Windows de última generación, que es exclusiva de los grupos alineados con Irán y algo atípica en el panorama general de amenazas. Durante esta campaña, los operadores evitaron deliberadamente las sesiones interactivas con el teclado, una técnica que a menudo se caracteriza por comandos mal escritos. Lo que muestra signos de evolución técnica: mayor precisión, objetivos estratégicos y un conjunto de herramientas más avanzado.
El conjunto de herramientas posterior al compromiso también incluye múltiples ladrones de credenciales: CE-Notes, que se dirige a los navegadores basados en Chromium; LP-Notes, que prepara y verifica las credenciales robadas; y Blub, que roba los datos de inicio de sesión de los navegadores Chrome, Edge, Firefox y Opera.
MuddyWater fue presentado al público por primera vez en 2017 por Unit 42, cuya descripción de la actividad del grupo coincide con el perfil elaborado por ESET: se centra en el ciberespionaje, utiliza documentos maliciosos como archivos adjuntos diseñados para incitar a los usuarios a habilitar macros y eludir los controles de seguridad, y se dirige principalmente a entidades ubicadas en Oriente Medio.
Entre las actividades más destacadas del pasado se incluyen la Operación Quicksand (2020), una campaña de ciberespionaje dirigida a entidades gubernamentales y organizaciones de telecomunicaciones israelíes, que ejemplifica la evolución del grupo desde tácticas básicas de phishing hasta operaciones más avanzadas y en múltiples etapas; y una campaña dirigida a grupos y organizaciones políticas en Turquía, que demuestra el enfoque geopolítico del grupo, su capacidad para adaptar las tácticas de ingeniería social a los contextos locales y su dependencia de malware modular y una infraestructura C&C flexible.
ESET documentó múltiples campañas atribuidas a MuddyWater que ponen de relieve la evolución del conjunto de herramientas del grupo y el cambio de enfoque operativo. En marzo y abril de 2023, MuddyWater atacó a una víctima no identificada en Arabia Saudita, y el grupo llevó a cabo una campaña en enero y febrero de 2025 que destacó por su solapamiento operativo con Lyceum (un subgrupo de OilRig). Esta cooperación sugiere que MuddyWater podría estar actuando como intermediario de acceso inicial para otros grupos alineados con Irán.
“Esta campaña refleja una evolución en la madurez operativa de MuddyWater. El despliegue de componentes previamente no documentados, indica un esfuerzo por mejorar las capacidades de evasión, persistencia y robo de credenciales. El uso de técnicas de evasión inspiradas en mecánicas de juegos, y un conjunto de herramientas diversificado muestra un enfoque más refinado que en campañas anteriores. Sigue demostrando su capacidad para ejecutar campañas oportunas, eficaces y cada vez más difíciles de defender. Aunque estimamos que MuddyWater continuará siendo uno de los principales actores alineados con Irán, prevemos un patrón sostenido de campañas típicas reforzadas con TTP más avanzadas”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
