ESET descubre ciberataque disfrazado del juego Snake
- El grupo también empleó técnicas avanzadas para desplegar MuddyViper, un nuevo backdoor -troyano que permite el acceso al sistema infectado y su control remoto-, utilizando un loader denominado Fooder, que lo carga de forma reflexiva en memoria para su ejecución.
- El equipo de investigación de ESET identificó una nueva actividad de MuddyWater (grupo de ciberespionaje alineado con Irán) que ataca principalmente a organizaciones de infraestructuras críticas en Israel, con un objetivo confirmado en Egipto.
MÉXICO.- El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, identificó nuevas actividades del grupo de ciberespionaje, MuddyWater, dirigidas principalmente a organizaciones de Israel, con un objetivo confirmado en Egipto. Las víctimas en Israel pertenecían a los sectores de la tecnología, la ingeniería, la fabricación, la administración local y la educación. El nuevo backdoor implementado, MuddyViper, permitió a los atacantes recopilar información del sistema, ejecutar archivos y comandos de shell, transferir archivos y extraer credenciales de inicio de sesión de Windows y datos del navegador. La campaña maliciosa además aprovechó otros programas para robar credenciales. Entre estas herramientas se encuentra Fooder, un cargador personalizado que se hace pasar por el clásico juego Snake.
MuddyWater, también conocido como Mango Sandstorm o TA450, es un grupo de ciberespionaje activo desde al menos 2017. Es conocido por sus ataques persistentes contra el gobierno y los sectores de infraestructura crítica, que a menudo utiliza malware personalizado y herramientas disponibles públicamente, y porque tiene vínculos con el Ministerio de Inteligencia y Seguridad Nacional de Irán.
El acceso inicial de este tipo de ataques se logra habitualmente mediante correos electrónicos de spearphishing -ciberataques dirigidos a individuos u organizaciones específicas con el objetivo de acceder a información confidencial- que contienen archivos PDF con enlaces a instaladores de software de supervisión y gestión remota (RMM) alojados en servicios gratuitos de intercambio de archivos como OneHub, Egnyte o Mega. Estos enlaces conducen a la descarga de herramientas como Atera, Level, PDQ y SimpleHelp. Entre las herramientas desplegadas por los operadores de MuddyWater se encuentra también el backdoor VAX-One, denominado así por los productos legítimos que suplanta: Veeam, AnyDesk, Xerox y el servicio de actualización OneDrive.
ESET afirma que en esta campaña los atacantes desplegaron un conjunto de herramientas personalizadas y no documentadas anteriormente con el objetivo de mejorar la evasión de la defensa y su persistencia. Entre las herramientas utilizadas se encuentra un loader, Fooder, personalizado que fue diseñado para ejecutar MuddyViper, un nuevo backdoor C/C++. Varias de estas versiones de Fooder se hacen pasar por el clásico juego Snake, y su lógica incluye un delay personalizado inspirado en la mecánica del juego, combinado con el uso frecuente de llamadas a la API Sleep. Estas funciones están diseñadas para introducir retrasos en la ejecución y dificultar el análisis dinámico automatizado.
Además, desde ESET detallan que los desarrolladores de MuddyWater adoptaron CNG, la API criptográfica de Windows de última generación, que es exclusiva de los grupos alineados con Irán y algo atípica en el panorama general de amenazas. Durante esta campaña, los operadores evitaron deliberadamente las sesiones interactivas con el teclado, una técnica que a menudo se caracteriza por comandos mal escritos. Lo que muestra signos de evolución técnica: mayor precisión, objetivos estratégicos y un conjunto de herramientas más avanzado.
El conjunto de herramientas posterior al compromiso también incluye múltiples ladrones de y Blub, que roba los datos de inicio de sesión de los navegadores Chrome, Edge, Firefox y Opera.
MuddyWater fue presentado al público por primera vez en 2017 por Unit 42, cuya descripción de la actividad del grupo coincide con el perfil elaborado por ESET: se centra en el ciberespionaje, utiliza documentos maliciosos como archivos adjuntos diseñados para incitar a los usuarios a habilitar macros y eludir los controles de seguridad, y se dirige principalmente a entidades ubicadas en Oriente Medio.
Entre las actividades más destacadas del pasado se incluyen la Operación Quicksand (2020), una campaña de ciberespionaje dirigida a entidades gubernamentales y organizaciones de telecomunicaciones israelíes, que ejemplifica la evolución del grupo desde tácticas básicas de phishing hasta operaciones más avanzadas y en múltiples etapas; y una campaña dirigida a grupos y organizaciones políticas en Turquía, que demuestra el enfoque geopolítico del grupo, su capacidad para adaptar las tácticas de ingeniería social a los contextos locales y su dependencia de malware modular y una infraestructura C&C flexible.
ESET documentó múltiples campañas atribuidas a MuddyWater que ponen de relieve la evolución del conjunto de herramientas del grupo y el cambio de enfoque operativo. En marzo y abril de 2023, MuddyWater atacó a una víctima no identificada en Arabia Saudita, y el grupo llevó a cabo una campaña en enero y febrero de 2025 que destacó por su solapamiento operativo con Lyceum (un subgrupo de OilRig). Esta cooperación sugiere que MuddyWater podría estar actuando como intermediario de acceso inicial para otros grupos alineados con Irán