MuddyWater, un grupo de amenazas iraní, ha comenzado recientemente a utilizar una nueva puerta trasera hecha a medida para atacar sistemas de TI en Medio Oriente, según las firmas de inteligencia de amenazas Check Point y Sekoia.

En el pasado, MuddyWater comprometía principalmente sistemas utilizando herramientas legítimas de administración remota como Atera Agent, Screen Connect, Tactical RMM o SimpleHelp.

La típica cadena de eliminación del grupo de amenazas persistentes avanzadas (APT) comenzó con una campaña de phishing difundida desde cuentas de correo electrónico de organizaciones comprometidas, lo que llevó a la implementación no autorizada de estas herramientas legítimas para controlar los dispositivos de la víctima.

Recientemente, MuddyWater se alejó de este enfoque y comenzó a implementar una puerta trasera personalizada, revelaron Check Point y Sekoia el 15 de julio de 2024.

MuddyWater es un grupo APT afiliado al Ministerio de Inteligencia y Seguridad de Irán (MOIS), que ha estado activo desde al menos 2017.

Ha participado en campañas generalizadas de phishing dirigidas a Oriente Medio, con especial atención a Israel.

Desde el ataque de Hamás a Israel en octubre de 2023 y el comienzo de la guerra Hamás-Israel, el grupo ha aumentado significativamente su actividad.

El 9 de junio de 2024, un informe de la empresa de ciberseguridad ClearSky sobre una nueva campaña de MuddyWater llevó a Sekoia a darse cuenta de que el actor de amenazas estaba utilizando una herramienta nueva e indocumentada.

MuddyRot/BugSleep es un implante x64 desarrollado en C que ejecuta los comandos de los actores de amenazas y transfiere archivos entre la máquina comprometida y el servidor de comando y control (C2).

Incluye varias capacidades, como shell inverso, persistencia y la posibilidad de que los operadores descarguen y carguen archivos desde/hacia la estación de trabajo comprometida.

La cadena de infección típica implica un abuso de Egnyte. Egnyte es una plataforma segura para compartir archivos que permite a los empleados y empresas compartir archivos a través de un navegador web.

Tras la ejecución, el malware realiza tareas estándar, como desofuscar cadenas, cargar las funciones necesarias desde una interfaz programable de aplicación (API) dinámica y crear un mutex.

Todas las cadenas relevantes, como la configuración del malware, las rutas de los archivos y los métodos importados, se ofuscan mediante varias técnicas de ofuscación estándar, como la carga de importación dinámica.

La puerta trasera se ha utilizado principalmente para infectar los sistemas informáticos de organizaciones israelíes, aunque algunas campañas se dirigieron a entidades de Turquía, Arabia Saudita, India y Portugal.

Actualmente se encuentra en desarrollo y los actores de amenazas mejoran continuamente su funcionalidad y solucionan errores.