El equipo de investigación de ESET, compañía referente en detección proactiva de amenazas, ha descubierto nuevas operaciones del grupo de ciberespionaje MuddyWater, centradas principalmente en entidades de Israel y, de manera confirmada, en un objetivo de Egipto. Las organizaciones afectadas en territorio israelí pertenecen a ámbitos como la tecnología, la ingeniería, la manufactura, la administración local y la educación. En esta campaña, los atacantes emplearon un nuevo backdoor, denominado MuddyViper, con el que lograron recopilar datos del sistema, ejecutar archivos y comandos, transferir información y robar credenciales de inicio de sesión de Windows, además de datos almacenados en navegadores. La operación también hizo uso de otros programas destinados al robo de credenciales, entre ellos Fooder, un loader diseñado para hacerse pasar por el clásico videojuego Snake.
MuddyWater —conocido también como Mango Sandstorm o TA450— opera al menos desde 2017 y es identificado por sus continuas ofensivas contra administraciones públicas y sectores de infraestructura crítica. Sus ataques suelen combinar malware desarrollado a medida con herramientas de uso público, y se le atribuyen vínculos con el Ministerio de Inteligencia y Seguridad Nacional de Irán.
El acceso inicial a las redes comprometidas suele producirse mediante correos de spearphishing, mensajes dirigidos específicamente a personas u organizaciones con la intención de obtener información sensible. Estos correos incorporan archivos PDF que contienen enlaces a instaladores de herramientas de monitorización y gestión remota (RMM) alojados en plataformas gratuitas de intercambio de archivos como OneHub, Egnyte o Mega. A través de estos enlaces se descargan utilidades como Atera, Level, PDQ o SimpleHelp. Los operadores de MuddyWater utilizan además el backdoor VAX-One, llamado así por suplantar productos legítimos como Veeam, AnyDesk, Xerox o el actualizador de OneDrive.
Según ESET, en esta ofensiva los atacantes recurrieron a un conjunto de herramientas propias y aún no documentadas, diseñadas para mejorar la evasión de sistemas de defensa y consolidar su presencia dentro de los equipos comprometidos. Entre ellas figura Fooder, un loader creado específicamente para ejecutar MuddyViper, un nuevo backdoor programado en C/C++. Varias variantes de Fooder se camuflan como el videojuego Snake y contienen una lógica con retrasos inspirados en la dinámica del juego, combinada con múltiples llamadas a la API Sleep. Este comportamiento introduce pausas en la ejecución para dificultar el análisis automatizado, complicando el trabajo de los analistas y de las soluciones de seguridad.
Además, desde ESET explican que los desarrolladores de MuddyWater han adoptado CNG, la API criptográfica de nueva generación de Windows, una característica exclusiva de los grupos alineados con Irán y poco habitual en el panorama general de amenazas. Durante esta campaña, los operadores evitaron deliberadamente las sesiones interactivas mediante teclado, una técnica que suele dejar rastro de comandos mal escritos. Este comportamiento muestra signos de una evolución técnica, con mayor precisión, objetivos más estratégicos y un conjunto de herramientas más sofisticado.
El conjunto de herramientas posterior al compromiso incluye también varios ladrones de credenciales, entre ellos CE-Notes, que se dirige a los navegadores basados en Chromium; LP-Notes, que prepara y verifica las credenciales robadas; y Blub, diseñado para robar los datos de inicio de sesión de los navegadores Chrome, Edge, Firefox y Opera.
MuddyWater fue presentado al público por primera vez en 2017 por Unit 42, cuya descripción de la actividad del grupo coincide con el perfil elaborado por ESET: se centra en el ciberespionaje, utiliza documentos maliciosos como archivos adjuntos diseñados para incitar a los usuarios a habilitar macros y eludir los controles de seguridad, y dirige principalmente sus ataques a entidades ubicadas en Oriente Medio.
Entre sus actividades más destacadas figuran la Operación Quicksand (2020), una campaña de ciberespionaje dirigida a entidades gubernamentales y organizaciones de telecomunicaciones israelíes, que ejemplifica la evolución del grupo desde tácticas básicas de phishing hacia operaciones más avanzadas y estructuradas en múltiples etapas; así como una campaña dirigida a grupos y organizaciones políticas en Turquía, que demuestra su enfoque geopolítico, su capacidad para adaptar las tácticas de ingeniería social al contexto local y su dependencia de malware modular y una infraestructura de mando y control flexible.
ESET ha documentado múltiples campañas atribuidas a MuddyWater que ponen de manifiesto la evolución de su conjunto de herramientas y un cambio en su enfoque operativo. En marzo y abril de 2023, el grupo atacó a una víctima no identificada en Arabia Saudí, y en enero y febrero de 2025 llevó a cabo una campaña que destacó por su solapamiento operativo con Lyceum (un subgrupo de OilRig). Esta cooperación sugiere que MuddyWater podría estar actuando como intermediario de acceso inicial para otros grupos alineados con Irán.
