El grupo de hackers iraní conocido como Agua fangosa se ha observado que aprovecha una nueva puerta trasera denominada Gángster del UDP que usa el Protocolo de datagramas de usuario (UDP) para fines de comando y control (C2).
La actividad de ciberespionaje tenía como objetivo a usuarios de Turquía, Israel y Azerbaiyán, según un informe de Fortinet FortiGuard Labs.
«Este malware permite el control remoto de los sistemas comprometidos al permitir a los atacantes ejecutar comandos, filtrar archivos e implementar cargas útiles adicionales, todo ello comunicado a través de canales UDP diseñados para evadir las defensas de red tradicionales», dijo la investigadora de seguridad Cara Lin dijo .
La cadena de ataque implica el uso de tácticas de suplantación de identidad para distribuir documentos de Microsoft Word con trampas explosivas que activan la ejecución de una carga maliciosa una vez que se habilitan las macros. Algunos de los mensajes de suplantación de identidad se hacen pasar por el Ministerio de Asuntos Exteriores de la República Turca del Norte de Chipre y pretenden invitar a los destinatarios a un seminario en línea titulado «Elecciones presidenciales y resultados».
Junto con los correos electrónicos se adjuntan un archivo ZIP (» seminer.zip «) y un documento de Word (» seminer.doc «). El archivo ZIP también contiene el mismo archivo de Word, al abrir el cual se pide a los usuarios que habiliten las macros para ejecutar sigilosamente el código VBA incrustado.
Por su parte, el script VBA del archivo cuentagotas está equipado para ocultar cualquier señal de actividad maliciosa al mostrar una imagen señuelo en hebreo del proveedor de telecomunicaciones israelí Bezeq sobre los supuestos períodos de desconexión durante la primera semana de noviembre de 2025 en varias ciudades del país.
«La macro usa el evento Document_Open () para ejecutarse automáticamente, decodificando datos codificados en Base64 de un campo de formulario oculto (UserForm1.bodf90.text) y escribiendo el contenido decodificado en C:\Users\Public\ui.txt», explica Lin. «A continuación, ejecuta este archivo mediante la API CreateProcessA de Windows y lanza la carga útil UDPGangster».
UDPGangster establece la persistencia mediante modificaciones en el registro de Windows y presume de varias comprobaciones antianálisis para resistirse a los esfuerzos de los investigadores de seguridad por desmantelarlo. Esto incluye -
- Verificar si el proceso se está depurando
- Análisis de las configuraciones de CPU para entornos aislados o máquinas virtuales
- Determinar si el sistema tiene menos de 2048 MB de RAM
- Recuperar la información del adaptador de red para validar si el prefijo de la dirección MAC coincide con una lista de proveedores de máquinas virtuales conocidos
- Validar si el equipo forma parte del grupo de trabajo predeterminado de Windows y no de un dominio unido
- Examinar los procesos en ejecución en busca de herramientas como VBoxService.exe, VBoxTray.exe, vmware.exe y vmtoolsd.exe
- Realizar escaneos del registro para buscar coincidencias con identificadores de proveedores de virtualización conocidos, como vBox, VMBox, QEMU, VIRTUAL, VIRTUALBOX, VMWARE y Xen
- Búsqueda de herramientas conocidas de sandboxing o depuración, y
- Comprobar si el archivo se está ejecutando en un entorno de análisis
Solo después de cumplir con estas comprobaciones, UDPGangster procede a recopilar la información del sistema y se conecta a un servidor externo («157.20.182 [.] 75») a través del puerto UDP 1269 para filtrar los datos recopilados, ejecutar comandos con "cmd.exe», transmitir archivos, actualizar el servidor C2 y eliminar y ejecutar cargas útiles adicionales.
«UDPGangster utiliza cuentagotas basados en macros para el acceso inicial e incorpora amplias rutinas de antianálisis para evitar la detección», afirma Lin. «Los usuarios y las organizaciones deben tener cuidado con los documentos no solicitados, especialmente los que solicitan la activación de macros».
El desarrollo se produce días después de que ESET atribuyera al actor de la amenaza a ataques en los sectores académico, de ingeniería, gobierno local, fabricación, tecnología, transporte y servicios públicos en Israel, que generaron otra puerta trasera denominada Víbora fangosa .