El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, ha identificado nuevas actividades del grupo de ciberespionaje MuddyWater, dirigidas principalmente a organizaciones de Israel, con un objetivo confirmado en Egipto. Las víctimas en Israel pertenecen a los sectores de la tecnología, la ingeniería, la fabricación, la administración local y la educación. El nuevo backdoor desplegado, MuddyViper, permitió a los atacantes recopilar información del sistema, ejecutar archivos y comandos de shell, transferir ficheros y extraer credenciales de inicio de sesión de Windows y datos del navegador. La campaña maliciosa también se apoyó en otros programas para el robo de credenciales. Entre estas herramientas se encuentra Fooder, un loader personalizado que se hace pasar por el clásico juego Snake.

MuddyWater, también conocido como Mango Sandstorm o TA450, es un grupo de ciberespionaje activo desde al menos 2017. Es conocido por sus ataques persistentes contra organismos gubernamentales y sectores de infraestructura crítica, en los que suele emplear malware personalizado y herramientas de uso público, y por sus vínculos con el Ministerio de Inteligencia y Seguridad Nacional de Irán.

El acceso inicial en este tipo de ataques se consigue habitualmente mediante correos electrónicos de spearphishing – ciberataques dirigidos a individuos u organizaciones concretas con el fin de obtener acceso a información confidencial – que incluyen archivos PDF con enlaces a instaladores de software de supervisión y gestión remota (RMM) alojados en servicios gratuitos de intercambio de archivos, como OneHub, Egnyte o Mega. Estos enlaces llevan a la descarga de herramientas como Atera, Level, PDQ o SimpleHelp. Entre las herramientas utilizadas por los operadores de MuddyWater se encuentra también el backdoor VAX-One, denominado así porque suplanta productos legítimos como Veeam, AnyDesk, Xerox y el servicio de actualización OneDrive.

ESET señala que, en esta campaña, los atacantes desplegaron un conjunto de herramientas personalizadas y hasta ahora no documentadas con el objetivo de mejorar la evasión de defensas y mantener la persistencia dentro de los sistemas comprometidos. Entre ellas se encuentra Fooder, un loader personalizado diseñado para ejecutar MuddyViper, un nuevo backdoor desarrollado en C/C++. Varias de las versiones de Fooder se hacen pasar por el clásico juego Snake, y su lógica incorpora un retardo personalizado inspirado en la mecánica del propio juego, combinado con el uso frecuente de llamadas a la API Sleep. Estas funciones están pensadas para introducir demoras en la ejecución y dificultar el análisis dinámico automatizado, complicando así la labor de los analistas y las soluciones de seguridad.

Además, desde ESET explican que los desarrolladores de MuddyWater han adoptado CNG, la API criptográfica de nueva generación de Windows, una característica exclusiva de los grupos alineados con Irán y poco habitual en el panorama general de amenazas. Durante esta campaña, los operadores evitaron deliberadamente las sesiones interactivas mediante teclado, una técnica que suele dejar rastro de comandos mal escritos. Este comportamiento muestra signos de una evolución técnica, con mayor precisión, objetivos más estratégicos y un conjunto de herramientas más sofisticado.

El conjunto de herramientas posterior al compromiso incluye también varios ladrones de credenciales, entre ellos CE-Notes, que se dirige a los navegadores basados en Chromium; LP-Notes, que prepara y verifica las credenciales robadas; y Blub, diseñado para robar los datos de inicio de sesión de los navegadores Chrome, Edge, Firefox y Opera.

MuddyWater fue presentado al público por primera vez en 2017 por Unit 42, cuya descripción de la actividad del grupo coincide con el perfil elaborado por ESET: se centra en el ciberespionaje, utiliza documentos maliciosos como archivos adjuntos diseñados para incitar a los usuarios a habilitar macros y eludir los controles de seguridad, y dirige principalmente sus ataques a entidades ubicadas en Oriente Medio.

Entre sus actividades más destacadas figuran la Operación Quicksand (2020), una campaña de ciberespionaje dirigida a entidades gubernamentales y organizaciones de telecomunicaciones israelíes, que ejemplifica la evolución del grupo desde tácticas básicas de phishing hacia operaciones más avanzadas y estructuradas en múltiples etapas; así como una campaña dirigida a grupos y organizaciones políticas en Turquía, que demuestra su enfoque geopolítico, su capacidad para adaptar las tácticas de ingeniería social al contexto local y su dependencia de malware modular y una infraestructura de mando y control flexible.

ESET ha documentado múltiples campañas atribuidas a MuddyWater que ponen de manifiesto la evolución de su conjunto de herramientas y un cambio en su enfoque operativo. En marzo y abril de 2023, el grupo atacó a una víctima no identificada en Arabia Saudí, y en enero y febrero de 2025 llevó a cabo una campaña que destacó por su solapamiento operativo con Lyceum (un subgrupo de OilRig). Esta cooperación sugiere que MuddyWater podría estar actuando como intermediario de acceso inicial para otros grupos alineados con Irán.