El grupo iraní de ciberespionaje MuddyWater está pasando de controlar los sistemas infectados con software legítimo de gestión remota a colocar un implante de puerta trasera hecho a medida.
La organización, que se ha dirigido a Israel, Arabia Saudita y otras naciones, a menudo utiliza herramientas de phishing y de administración remota legítimas, pero está desarrollando un nuevo conjunto de herramientas locales.
Tan recientemente como en abril, el grupo infectó sistemas apuntando a servidores expuestos a Internet o mediante phishing, terminando con la instalación de las plataformas de administración remota SimpleHelp o Atera, dijo el proveedor de operaciones de seguridad Sekoia en un aviso. Sin embargo, en junio, el grupo cambió a una cadena de ataque diferente: enviar un archivo PDF malicioso con un enlace incrustado que conduce a un archivo almacenado en el servicio Egnyte, que instala la nueva puerta trasera, denominada MuddyRot por Sekoia.
Check Point Software también notó el cambio a la nueva herramienta. MuddyWater ha estado utilizando el implante de puerta trasera, que la empresa llama BugSleep, desde mayo, y rápidamente lo ha estado mejorando con nuevas características y correcciones de errores, dice Sergey Shykevich, gerente del grupo de inteligencia de amenazas en Check Point Software.
Sin embargo, a menudo también introducen nuevos errores en el malware. «Probablemente se dieron cuenta de que su táctica de utilizar herramientas de administración remota como puerta trasera no era lo suficientemente efectiva y decidieron hacer una transición rápida al malware casero», dice Shykevich. «Probablemente debido a la presión para un cambio rápido, publicaron una versión incompleta».
Irán se ha convertido en un importante actor de amenazas cibernéticas en Medio Oriente. Desde al menos 2018, el grupo de amenazas MuddyWater se ha dirigido a una variedad de agencias gubernamentales e industrias críticas con ataques maliciosos, según un aviso de 2022 publicado conjuntamente por agencias gubernamentales de EE. UU. y el Reino Unido. El grupo MuddyWater es parte del Ministerio iraní de Inteligencia y Seguridad (MOIS), y otras empresas de ciberseguridad se refieren al grupo como Earth Vetala, MERCURY, Static Kitten, Seedworm y TEMP.Zagros, según el aviso conjunto.
La puerta trasera BugSleep utiliza tácticas antianálisis típicas, como retrasar la ejecución (es decir, «dormir») para evitar ser detectado o ejecutarse en una zona de pruebas. La puerta trasera también emplea cifrado, pero en muchos casos el cifrado no se ejecutó correctamente.
Los problemas de cifrado no son los únicos errores del código. En otros ejemplos, el programa crea un archivo, «a.txt», y luego lo elimina, aparentemente sin ningún motivo. Estos problemas, además de las frecuentes actualizaciones, sugieren que el código aún está en desarrollo, afirmó el aviso de Check Point Software.
MuddyWater anteriormente había creado sus propios programas de puerta trasera, como uno llamado Powerstats, escrito en PowerShell, pero luego pasó a utilizar software de administración remota (RMM), señaló el aviso de Sekoia.
«Aún no sabemos por qué los operadores de MuddyWater han vuelto a utilizar un implante casero para su primera etapa de infección en al menos una campaña», afirma el aviso. «Es probable que el aumento de la supervisión de las herramientas RMM por parte de los proveedores de seguridad, tras el aumento del abuso por parte de actores de amenazas maliciosos, haya influido en este cambio».
El uso de un servicio para compartir archivos como Egnyte para alojar documentos maliciosos se ha vuelto más popular entre los atacantes. El período de prueba suele ser suficiente para darles a los atacantes una plataforma para usar durante un ataque, dice Shykevich de Check Point Software.
Los señuelos utilizados en las campañas de phishing del grupo se han vuelto más simples, centrándose en «temas genéricos como seminarios web y cursos en línea», lo que les permite enviar un mayor volumen de ataques, afirmó el aviso de Check Point Software.
Es posible que MuddyWater no sea un solo grupo. En 2022, el grupo de inteligencia de amenazas de Cisco, Talos, los describió como un «paraguas de grupos APT». La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) describe al grupo como «un grupo de actores de amenazas persistentes avanzadas (APT) patrocinados por el gobierno iraní», en su aviso.
