El actor de estado-estado iraní conocido como Muddywater ha aprovechado un marco de comando y control (C2) recientemente descubierto llamado Muddyc2Go en sus ataques contra el sector de telecomunicaciones en Egipto, Sudán y Tanzania.

El equipo de cazadores de amenazas de Symantec, parte de Broadcom, está rastreando la actividad bajo el nombre de Semillaworm, que también se rastrea bajo los monikers Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (anteriormente Mercurio), estático Kitten, Temp.Zagros y amarillo Nix.

Activo desde al menos 2017, se evalúa que Muddywater está afiliado al Ministerio de Inteligencia y Seguridad de Irán (MOI), principalmente destacando entidades en el Medio Oriente.

El uso del Grupo Cyber Espionage de MuddyC2GO se destacó por primera vez por Deep Instinct el mes pasado, describiéndolo como un reemplazo basado en Golang para PhonyC2, en sí mismo un sucesor de Muddyc3. Sin embargo, hay evidencia que sugiere que puede haber sido empleado ya en 2020.

Si bien aún no se conoce la extensión total de las capacidades de MuddyC2GO, el ejecutable viene equipado con un script PowerShell que se conecta automáticamente al servidor C2 de semillas, dando así a los atacantes acceso remoto a un sistema de víctimas y evitando la necesidad de ejecución manual por parte de un operador.

El último conjunto de intrusiones, que tuvo lugar en noviembre de 2023, también se ha encontrado que depende de SimpleHelp y Venom Proxy, junto con un Keylogger personalizado y otras herramientas disponibles públicamente.

Las cadenas de ataque montadas por el grupo tienen un historial de correos electrónicos de phishing de armas y vulnerabilidades conocidas en aplicaciones no parpadeadas para el acceso inicial, seguido de la realización de reconocimiento, movimiento lateral y recopilación de datos.

En los ataques documentados por Symantec dirigidos a una organización de telecomunicaciones no identificada, el lanzador Muddyc2Go fue ejecutado para establecer contacto con un servidor controlado por el actor, al tiempo que implementaba un software de acceso remoto legítimo como Anydesk y SimpleHelp.

Se dice que la entidad fue previamente comprometida por el adversario anteriormente en 2023 en el que SimpleHelp se utilizó para lanzar PowerShell, entregar software proxy y también instalar la herramienta de acceso remoto de JumpCloud.

Al utilizar una combinación de herramientas a medida, de vida en la tierra y disponibles públicamente en sus cadenas de ataque, el objetivo es evadir la detección durante el mayor tiempo posible para cumplir con sus objetivos estratégicos, dijo la compañía.

El desarrollo se produce cuando un grupo vinculado a Israel llamado Gonjashke Darande (que significa «gorrión depredador» en persa) se atribuyó la responsabilidad de un ataque cibernético que interrumpió una «mayoría de las bombas de gas en todo Irán» en respuesta a la «agresión de la República Islámica y sus representantes en la región «.

Se cree que el grupo, que resurgió en octubre de 2023 después de callar durante casi un año, está vinculado a la Dirección de Inteligencia Militar Israelí, después de haber realizado ataques destructivos en Irán, incluidas instalaciones de acero, estaciones de servicio y redes ferroviarias en el país.