Se ha observado que el grupo de hackers iraní MuddyWater abre una nueva puerta trasera llamada “ UDPGángster que utiliza el Protocolo de datagramas de usuario (UDP) para fines de comando y control (C2).
Según un informe de Fortinet FortiGuard Labs, la actividad de ciberespionaje se centró en usuarios de Turquía, Israel y Azerbaiyán.
“Este malware permite el control remoto de los sistemas comprometidos al permitir a los atacantes ejecutar comandos, filtrar archivos y entregar cargas útiles adicionales, todo ello comunicándose a través de canales UDP diseñados para eludir las defensas tradicionales de la red”, dijo la investigadora de seguridad Cara Lin.
La cadena de ataque implica el uso de tácticas de phishing para distribuir documentos de Microsoft Word con trampas explosivas que desencadenan la ejecución de una carga útil maliciosa una vez que se activan las macros. Algunos de los mensajes de phishing se hacen pasar por el Ministerio de Asuntos Exteriores de la República Turca del Norte de Chipre y tienen como objetivo invitar a los destinatarios a un seminario en línea titulado “Elecciones presidenciales y resultados”.
Junto con los correos electrónicos se adjuntan un archivo ZIP (“seminer.zip”) y un documento de Word (“seminer.doc”). El archivo ZIP también contiene el mismo archivo de Word. Cuando se abre, se solicita a los usuarios que habiliten macros para ejecutar en secreto código VBA integrado.
Por su parte, el script VBA en el archivo dropper es capaz de ocultar cualquier signo de actividad maliciosa al mostrar una imagen señuelo en hebreo del proveedor de telecomunicaciones israelí Bezeq sobre supuestos tiempos de apagón en la primera semana de noviembre de 2025 en varias ciudades del país.
“La macro utiliza el evento Document_Open() para ejecutarse automáticamente, decodifica datos codificados en Base64 de un campo de formulario oculto (UserForm1.bodf90.Text) y escribe el contenido decodificado en C:\Users\Public\ui.txt”, explicó Lin. “Luego ejecuta este archivo utilizando la API CreateProcessA de Windows y lanza la carga útil UDPGangster”.
UDPGangster mantiene la persistencia a través de cambios en el registro de Windows y tiene varias comprobaciones antianálisis para resistir los intentos de los investigadores de seguridad de desmantelarlo. Esto incluye –
- Verificar que el proceso se esté depurando
- Analizar configuraciones de CPU para sandboxes o máquinas virtuales
- Determinar si el sistema tiene menos de 2048 MB de RAM
- Obtenga información del adaptador de red para verificar que el prefijo de la dirección MAC coincida con una lista de proveedores de máquinas virtuales conocidos
- Verifique que la computadora sea parte del grupo de trabajo estándar de Windows y no un dominio unido
- Escanee procesos en ejecución en busca de herramientas como VBoxService.exe, VBoxTray.exe, vmware.exe y vmtoolsd.exe
- Ejecute análisis de registro para buscar coincidencias con identificadores de proveedores de virtualización conocidos, como VBox, VMBox, QEMU, VIRTUAL, VIRTUALBOX, VMWARE y Xen.
- Busque herramientas conocidas de sandboxing o depuración y
- Determinar si el archivo se está ejecutando en un entorno de análisis.
Solo después de pasar estas comprobaciones, UDPGangster recopila información del sistema y se conecta a un servidor externo (“157.20.182(.)75”) a través del puerto UDP 1269 para filtrar los datos recopilados, ejecutar comandos con “cmd.exe”, transferir archivos, actualizar el servidor C2 y eliminar y ejecutar cargas útiles adicionales.
“UDPGangster utiliza cuentagotas basados en macros para el acceso inicial e integra extensas rutinas antianálisis para evadir la detección”, dijo Lin. “Los usuarios y las organizaciones deben tener cuidado con los documentos no deseados, especialmente aquellos que solicitan activación de macros”.
El desarrollo se produce días después de que ESET atribuyó al actor de amenazas a ataques en los sectores de ciencia, ingeniería, gobierno local, manufactura, tecnología, transporte y servicios públicos en Israel que generaron otra puerta trasera llamada MuddyViper.
About The Author
