I ricercatori di ESET, specialista globale nel mercato della cybersecurity, hanno identificato una nuova attività di MuddyWater diretta principalmente contro organizzazioni in Israele, con un obiettivo confermato in Egitto. Le vittime in Israele appartenevano ai settori della tecnologia, ingegneria, produzione, governo locale ed education. MuddyWater, noto anche come Mango Sandstorm o TA450, è un gruppo di cyberspionaggio allineato all’Iran, conosciuto per il targeting persistente di settori governativi e di infrastrutture critiche; utilizza spesso malware personalizzati e strumenti pubblicamente disponibili ed è collegato al Ministry of Intelligence and National Security iraniano. In questa campagna, gli attaccanti hanno distribuito una serie di strumenti personalizzati e precedentemente non documentati con l’obiettivo di migliorare l’evasione dei meccanismi di difesa e la persistenza. La nuova backdoor MuddyViper consente agli attaccanti di raccogliere informazioni sul sistema, eseguire file e comandi della shell, trasferire file ed esfiltrare credenziali di accesso a Windows e dati dei browser. La campagna utilizza inoltre ulteriori strumenti dedicati al furto di credenziali. Tra questi figura Fooder, un loader personalizzato che si maschera da applicazione simile al classico gioco Snake.
Come funziona la campagna
In questa campagna, l’accesso iniziale avviene in genere tramite email di spearphishing, spesso contenenti allegati PDF che rimandano a installer di software di remote monitoring and management (RMM) ospitati su piattaforme gratuite di file sharing come OneHub, Egnyte o Mega. Questi link portano al download di strumenti come Atera, Level, PDQ e SimpleHelp. Tra gli strumenti distribuiti dagli operatori di MuddyWater figura anche la backdoor VAX One, che prende il nome dal software legittimo che impersona: Veeam, AnyDesk, Xerox e il servizio di aggiornamento di OneDrive.
La continua dipendenza del gruppo da questo approccio consolidato rende la sua attività relativamente facile da rilevare e bloccare. Tuttavia, in questo caso il gruppo ha utilizzato tecniche più avanzate per distribuire MuddyViper, una nuova backdoor, tramite un loader (Fooder) che carica la backdoor direttamente in memoria evitando il normale processo di caricamento dei file e riducendo le possibilità di rilevamento, per poi avviarne l’esecuzione. Diverse versioni di Fooder si mascherano da gioco Snake, da cui la designazione MuddyViper. Un’altra caratteristica rilevante di Fooder è il frequente uso di una funzione di ritardo personalizzata che implementa la logica centrale del gioco Snake, combinata con chiamate all’API “Sleep”. Queste funzionalità mirano a ritardare l’esecuzione nel tentativo di nascondere il comportamento malevolo ai sistemi di analisi automatica. Inoltre, gli sviluppatori di MuddyWater hanno adottato CNG, una next-generation Windows cryptographic API, scelta insolita per gruppi allineati all’Iran e in generale poco comune nel threat landscape più ampio. Durante questa campagna, gli operatori hanno deliberatamente evitato sessioni interattive hands-on-keyboard, una tecnica storicamente tracciabile e spesso caratterizzata da comandi digitati in modo errato. Pertanto, sebbene alcuni componenti restino facilmente rilevabili, come tipico di MuddyWater, nel complesso questa campagna mostra segnali di evoluzione tecnica: maggiore precisione, targeting più strategico e un toolset più avanzato.
Il toolset post-compromissione include inoltre diversi strumenti per il furto di credenziali: CE-Notes, che prende di mira browser basati su Chromium; LP-Notes, che raccoglie e organizza le credenziali sottratte; e Blub, che sottrae dati di accesso da Chrome, Edge, Firefox e Opera.
MuddyWater: un vecchio nemico
MuddyWater è stato presentato al pubblico per la prima volta nel 2017 da Unit 42, la cui analisi risulta coerente con il profiling di ESET: un focus sul cyberspionaggio, l’uso di documenti malevoli allegati progettati per spingere gli utenti ad abilitare macro e aggirare i controlli di sicurezza, e un targeting concentrato principalmente su entità situate in Medio Oriente.
Attività precedenti rilevanti includono Operation Quicksand (2020), una campagna di cyberspionaggio che ha come obiettivo enti governativi e organizzazioni di telecomunicazioni israeliane, esempio dell’evoluzione del gruppo da tattiche di phishing di base a operazioni più avanzate e multistadio; e una campagna che ha diretto le proprie attività verso gruppi politici e organizzazioni in Turchia, a dimostrazione del focus geopolitico del gruppo, della capacità di adattare tecniche di social engineering ai contesti locali e della dipendenza da malware modulari e infrastrutture C&C flessibili.
ESET ha documentato numerose campagne attribuite a MuddyWater che evidenziano l’evoluzione del toolset e il mutare dell’approccio operativo del gruppo. Nel marzo e aprile 2023, MuddyWater ha colpito una vittima non identificata in Arabia Saudita; inoltre, il gruppo ha condotto una campagna tra gennaio e febbraio 2025 caratterizzata da una significativa sovrapposizione operativa con Lyceum (un sottogruppo di OilRig). Questa cooperazione suggerisce che MuddyWater possa agire come initial access broker per altri gruppi allineati all’Iran.
