Las instalaciones científicas, de ingeniería, de gobierno local, manufacturero, tecnológico, de transporte y de servicios públicos israelíes se han convertido en el objetivo de una nueva serie de ataques por parte de actores estatales-nación iraníes que han desplegado una puerta trasera previamente indocumentada llamada MuddyViper.
ESET atribuyó la actividad a un grupo de hackers llamado agua turbia (también conocido como Mango Sandstorm o TA450), un grupo que se cree que está vinculado al Ministerio de Inteligencia y Seguridad de Irán (MOIS). Una empresa de tecnología con sede en Egipto también fue objetivo de los ataques.
El grupo de hackers salió a la luz por primera vez en noviembre de 2017, cuando la Unidad 42 de Palo Alto Networks detalló ataques dirigidos contra Oriente Medio utilizando una puerta trasera personalizada llamada POWERSTATS entre febrero y octubre de ese año. También es conocido por sus ataques destructivos a organizaciones israelíes, utilizando una variante del ransomware Thanos llamada PowGoop como parte de una campaña llamada Operación Quicksand.
Según la Dirección Nacional Cibernética de Israel (INCD), los ataques de MuddyWater se dirigieron a las autoridades locales del país, la aviación civil, el turismo, la atención sanitaria, las telecomunicaciones, la tecnología de la información y las pequeñas y medianas empresas (PYME).
Las cadenas de ataques típicas incluyen técnicas como el phishing y la explotación de vulnerabilidades conocidas en la infraestructura VPN para infiltrarse en las redes e implementar herramientas legítimas de administración remota, un enfoque preferido por MuddyWater desde hace mucho tiempo. Sin embargo, a más tardar desde mayo de 2024, las campañas de phishing han estado generando una puerta trasera llamada BugSleep (también conocida como MuddyRot).
Otras herramientas notables en su arsenal incluyen Blackout, una herramienta de administración remota (RAT); AnchorRat, una RAT que proporciona capacidades de carga de archivos y ejecución de comandos; CannonRat, una RAT que puede recibir comandos y transmitir información; Neshta, un conocido virus de infección de archivos; y Sad C2, un marco de comando y control (C2) que proporciona un cargador llamado TreasureBox que proporciona BlackPearl RAT para control remoto y un binario llamado Pheonix para descargar cargas útiles desde el servidor C2.
El grupo de ciberespionaje tiene un historial de ataques a una amplia gama de industrias, particularmente gobiernos e infraestructura crítica, utilizando una combinación de malware personalizado y herramientas disponibles públicamente. La última secuencia de ataque, como en campañas anteriores, comienza con correos electrónicos de phishing que contienen archivos PDF adjuntos que apuntan a herramientas legítimas de escritorio remoto como Atera, Level, PDQ y SimpleHelp.
La campaña se caracteriza por el uso de un cargador llamado Fooder, cuyo objetivo es descifrar y ejecutar la puerta trasera MuddyViper basada en C/C++. Alternativamente, se descubrió que el cargador C/C++ también admite servidores proxy de túnel inverso go-socks5 y una utilidad de código abierto llamada ” HackBrowserDatos para recopilar datos de navegación de varios navegadores, excepto Safari en Apple macOS.
“MuddyViper permite a los atacantes recopilar información del sistema, ejecutar archivos y comandos de shell, transferir archivos y filtrar credenciales de Windows y datos del navegador”, dijo la empresa eslovaca de ciberseguridad en un informe compartido con The Hacker News.
En total, la puerta trasera admite 20 comandos que permiten el acceso y control encubierto de los sistemas infectados. Varias variantes de Fooder imitan el clásico juego Snake, pero presentan una ejecución retrasada para evitar la detección. El uso de Fooder por parte de MuddyWater fue destacado por primera vez por Group-IB en septiembre de 2025.
Los ataques también utilizan las siguientes herramientas:
- VAXOne, un backdoor disfrazado de Veeam, AnyDesk, Xerox y el servicio de actualización OneDrive
- CE-Notes, un ladrón de datos del navegador que intenta eludir el cifrado vinculado a la aplicación de Google Chrome robando la clave de cifrado almacenada en el archivo de estado local de los navegadores basados en Chromium (tiene similitudes con el programa de código abierto CE-Notes). ChromeAscensor Proyecto)
- Blub, un ladrón de datos del navegador C/C++ que recopila credenciales de usuario de Google Chrome, Microsoft Edge, Mozilla Firefox y Opera
- LP-Notes, un ladrón de credenciales escrito en C/C++ que engaña a los usuarios para que ingresen su nombre de usuario y contraseña del sistema mostrando un cuadro de diálogo de seguridad falso de Windows
“Esta campaña señala una evolución en la madurez operativa de MuddyWater”, dijo ESET. “El uso de componentes no documentados anteriormente, como el cargador de alimentos y la puerta trasera MuddyViper, indica un intento de mejorar las capacidades de sigilo, persistencia y recopilación de credenciales”.
Encantador gatito lame
La revelación se produjo semanas después de que la Agencia Digital Nacional de Israel (INDA) culpara a los actores de amenazas iraníes conocidos como APT42 de ataques a individuos y organizaciones de interés como parte de una campaña centrada en el espionaje llamada SpearSpecter. Se cree que APT42 se superpone con otro grupo de hackers rastreado como APT35 (también conocido como Charming Kitten y Fresh Feline).
También sigue a una filtración masiva de documentos internos que expusieron las operaciones cibernéticas del grupo de hackers, que según el activista británico-iraní Nariman Gharib alimentan un sistema destinado a localizar y matar a personas consideradas una amenaza para Irán. Está afiliado al Cuerpo de la Guardia Revolucionaria Islámica (IRGC), en particular a su división de contrainteligencia conocida como Unidad 1500.
“La historia se lee como un guión de terror escrito en PowerShell y persa”, dijo FalconFeeds, y agregó que la filtración revela “un mapa completo de la División Cibernética Unidad 1500 del IRGC de Irán”.
El volcado de datos fue creado en septiembre y octubre de 2025 por un colectivo anónimo llamado “ Gatitoscuyos motivos siguen siendo desconocidos. En concreto, el hallazgo identifica a Abbas Rahrovi, también conocido como Abbas Hosseini, como líder de la operación y afirma que la unidad de piratería se gestiona a través de una red de empresas fachada.
Quizás una de las revelaciones más importantes sea la publicación en abril de 2023 de todo el código fuente asociado con BellaCiao, que según Bitdefender se utilizó en ataques a empresas en EE. UU., Europa, Medio Oriente e India. Según Gharib, la puerta trasera es obra de un equipo que opera desde la base de Shuhada en Teherán.
“Los materiales filtrados revelan una arquitectura de comando estructurada en lugar de un colectivo de hackers descentralizado, una organización con jerarquías claras, monitoreo del desempeño y disciplina burocrática”, dijo DomainTools.
“La filtración de APT35 revela un aparato de ciberinteligencia burocratizado, un brazo institucional del estado iraní con jerarquías, flujos de trabajo y métricas de rendimiento definidos. Los documentos revelan un ecosistema autosuficiente en el que los empleados registran las actividades diarias, cuantifican las tasas de éxito del phishing y rastrean las horas de inteligencia. Mientras tanto, el personal técnico prueba los exploits contra las vulnerabilidades actuales y los convierte en armas”.
About The Author
