Las entidades israelíes que abarcan los sectores académico, de la ingeniería, del gobierno local, de la fabricación, la tecnología, el transporte y los servicios públicos se han convertido en el blanco de una nueva serie de ataques emprendidos por actores del estado-nación iraní que han creado una puerta trasera previamente indocumentada llamada MuddyViper.
La actividad ha sido atribuido de ESET a un grupo de hackers conocido como Agua fangosa (también conocido como Mango Sandstorm o TA450), un grupo que se considera afiliado al Ministerio de Inteligencia y Seguridad (MOIS) de Irán. Los ataques también afectaron a una empresa de tecnología con sede en Egipto.
El grupo de hackers salió a la luz por primera vez en noviembre de 2017, cuando la Unidad 42 de Palo Alto Networks detallada ataques dirigidos contra Oriente Medio entre febrero y octubre de ese año utilizando una puerta trasera personalizada denominada POWERSTATS. También es conocida por sus ataques destructivos contra organizaciones israelíes utilizando una variante del ransomware Thanos llamada PowGoop como parte de una campaña denominada Operación Quicksand .
De acuerdo con dato de la Dirección Nacional de Ciberseguridad de Israel (INCD), los ataques de MuddyWater se han dirigido contra las autoridades locales del país, la aviación civil, el turismo, la atención médica, las telecomunicaciones, la tecnología de la información y las pequeñas y medianas empresas (pymes).
Las cadenas de ataque típicas incluyen técnicas como el spear-phising y la explotación de vulnerabilidades conocidas en la infraestructura de VPN para infiltrarse en las redes e implementar herramientas legítimas de administración remota, un enfoque que MuddyWater ha preferido desde hace mucho tiempo. Sin embargo, al menos desde mayo de 2024, las campañas de suplantación de identidad han creado una puerta trasera conocida como Bug Sleep (también conocido como MuddyRot).
Algunas de las otras herramientas notables de su arsenal incluyen Blackout, una herramienta de administración remota (RAT); AnchorRAT, una RAT que ofrece funciones de carga de archivos y ejecución de comandos; CannonRAT, una RAT que puede recibir comandos y transmitir información; Neshta , un conocido virus que infecta archivos; y Sad C2, un marco de comando y control (C2) que ofrece un cargador llamado TreasureBox, que implementa el BlackPearl RAT para el control remoto, y un binario conocido como Pheonix para descargar las cargas del servidor C2.
El grupo de ciberespionaje tiene un historial de atacar una amplia gama de industrias, específicamente gobiernos e infraestructuras críticas, utilizando una combinación de malware personalizado y herramientas disponibles públicamente. La secuencia de ataque más reciente comienza, como en campañas anteriores, con correos electrónicos de suplantación de identidad que contienen archivos PDF adjuntos que enlazan a herramientas legítimas de escritorio remoto como Atera, Level, PDQ y SimpleHelp.
La campaña se caracteriza por el uso de un cargador llamado Fooder diseñado para descifrar y ejecutar el backdoor MuddyViper basado en C/C++. Como alternativa, también se ha descubierto que el cargador C/C++ implementa proxies de tunelización inversa go-socks5 y una utilidad de código abierto llamada Hackear datos del navegador para recopilar datos del navegador de varios navegadores, con la excepción de Safari en Apple macOS.
«MuddyViper permite a los atacantes recopilar información del sistema, ejecutar archivos y comandos de shell, transferir archivos y filtrar las credenciales de inicio de sesión de Windows y los datos del navegador», dijo la empresa eslovaca de ciberseguridad en un informe compartido con The Hacker News.
En total, la puerta trasera admite 20 comandos que facilitan el acceso encubierto y el control de los sistemas infectados. Varias variantes de Fooder se hacen pasar por el clásico juego Snake, aunque incorporan la ejecución retrasada para evitar ser detectados. El uso de Fooder por parte de MuddyWater fue resaltado por primera vez por Group-IB en septiembre de 2025.
También se utilizan en los ataques las siguientes herramientas:
- VaxOne, una puerta trasera que se hace pasar por Veeam, AnyDesk, Xerox y el servicio de actualización de OneDrive
- CE-Notes, un ladrón de datos del navegador que intenta eludir el de Google Chrome cifrado vinculado a la aplicación robando la clave de cifrado almacenada en el archivo de estado local de los navegadores basados en Chromium (comparte similitudes con el código abierto) Elevador cromado proyecto)
- Blub, un ladrón de datos del navegador C/C++ que recopila los datos de inicio de sesión de los usuarios de Google Chrome, Microsoft Edge, Mozilla Firefox y Opera
- LP-Notes, un ladrón de credenciales escrito en C/C++ que engaña a los usuarios para que introduzcan el nombre de usuario y la contraseña del sistema al mostrar un cuadro de diálogo de seguridad de Windows falso
«Esta campaña indica una evolución o avance en la madurez operativa de MuddyWater», afirmó ESET. «La implementación de componentes que antes no estaban documentados, como el cargador Fooder y el backdoor MuddyViper, indica un esfuerzo por mejorar las capacidades de sigilo, persistencia y recopilación de credenciales».
Charming Kitten Leaks
La revelación se produce semanas después de que la Agencia Digital Nacional de Israel (INDA) atribuyera a los actores de amenazas iraníes conocidos como APT42 a los ataques contra personas y organizaciones de interés en una campaña centrada en el espionaje llamada Spear Specter . Se cree que APT42 comparte superposiciones con otro grupo de hackers rastreado como APT35 (también conocido como Charming Kitten y Fresh Feline).
También sigue a masivo fuga de interno documentos que ha dejado al descubierto las operaciones cibernéticas del grupo de hackers que, según el activista británico-iraní Nariman Gharib, se alimenta a un sistema diseñado para localizar y matar a personas consideradas una amenaza para el Irán. Está vinculado al Cuerpo de la Guardia Revolucionaria Islámica (IRGC), específicamente a su división de contrainteligencia conocida como Unidad 1500.
«La historia parece un guion de terror escrito en PowerShell y en persa», dice FalconFeeds dijo , añadiendo que la filtración revela «un mapa completo de la ciberdivisión de la Unidad 1500 del IRGC de Irán».
El volcado de datos fue publicado en GitHub en septiembre y octubre de 2025 por un colectivo anónimo llamado Cazadores de gatitos , cuyas motivaciones siguen sin conocerse. Cabe destacar que el tesoro identifica a Abbas Rahrovi, también conocido como Abbas Hosseini, como el líder de la operación, y afirma que la unidad de hackeo se gestiona a través de una red de empresas ficticias.
Quizás una de las otras revelaciones más importantes sea la publicación de todo el código fuente asociado a la Bella Ciao , que Bitdefender señaló en abril de 2023 por su uso en ataques contra empresas de EE. UU., Europa, Oriente Medio e India. Según Gharib, la puerta trasera es el trabajo de un equipo que opera desde la base de Shuhada en Teherán.
«Los materiales filtrados revelan una arquitectura de comando estructurada en lugar de un colectivo de hackers descentralizado, una organización con distintas jerarquías, supervisión del rendimiento y disciplina burocrática», dijo DomainTools dijo .
«La filtración de la APT35 expone un aparato de ciberinteligencia burocratizado, un brazo institucional del estado iraní con jerarquías, flujos de trabajo y métricas de rendimiento definidos. Los documentos revelan un ecosistema autosuficiente en el que los empleados registran la actividad diaria, cuantifican las tasas de éxito de la suplantación de identidad y hacen un seguimiento de las horas de reconocimiento. Mientras tanto, el personal técnico prueba las vulnerabilidades actuales y las convierte en armas».