Il gruppo APT iraniano MuddyWater colpisce infrastrutture critiche con nuove backdoor e tecniche più raffinate, segnando un salto di qualità nella sofisticazione dei suoi attacchi.
Autore: Redazione SecurityOpenLab
Una nuova ondata di attacchi riconducibili al gruppo APT iraniano MuddyWater sta prendendo di mira infrastrutture critiche in Israele e, in almeno un caso confermato, in Egitto. La campagna combina social engineering mirato, abuso di software legittimi per la gestione remota e una nuova backdoor progettata per bypassare i controlli di sicurezza. Le vittime appartengono a settori ad alta criticità fra cui tecnologia, ingegneria, manifatturiero, governo locale, education e utilities. La finalità sembra un intreccio di spionaggio e impatto operativo su servizi essenziali.
La campagna è stata ricostruita in dettaglio dai ricercatori di ESET, che ne hanno seguito l’evoluzione da fine 2024 a buona parte del 2025, con un’attività di correlazione degli incidenti sulle organizzazioni israeliane e su un operatore di infrastrutture critiche egiziano. Per comprendere il contesto, iniziamo con il capire chi è esattamente MuddyWater. Noto anche come Mango Sandstorm o TA450, si reputa che sia colluso con il Ministry of Intelligence and National Security iraniano ed è classificato come attore di cyber spionaggio di lungo periodo, specializzato nei settori governativi e OT. Il fatto che sia conosciuto permette agli esperti di rilevare un salto di qualità in questa campagna rispetto alle precedenti, sotto l’aspetto tecnico.
Gli analisti di ESET reputano infatti che la nuova operazione presenti un equilibrio peculiare tra continuità e innovazione: da un lato restano invariati elementi storici di MuddyWater, come l’uso di email a tema lavorativo come primo anello della catena di attacco. D’altro canto però compaiono componenti inedite, come per esempio il loader Fooder e la backdoor MuddyViper, che elevano significativamente le capacità di persistenza, raccolta informazioni ed evasione dai controlli. Il quadro che emerge è quello di un gruppo che conserva tratti caotici tipici delle sue prime campagne, ma con una maturità operativa in crescendo e una maggiore precisione nella scelta dei target e nella gestione della fase post-compromissione.
Le organizzazioni prese di mira in Israele operano in domini funzionali alla continuità del Paese: telecomunicazioni, tecnologie industriali, ingegneria, manifatturiero, amministrazione locale e istruzione. A queste si aggiunge almeno una realtà del settore utilities, per la quale ESET segnala una compromissione parallela attribuita a Lyceum, sottogruppo dell’ecosistema OilRig, che apre all’ipotesi di un coordinamento operativo o di un ruolo di initial access broker svolto da MuddyWater.
La presenza di un obiettivo confermato in Egitto amplia la portata regionale della campagna e rimarca il focus storico del gruppo sulle dinamiche geopolitiche mediorientali, già emerso in operazioni precedenti contro obiettivi israeliani, sauditi e turchi. In questo contesto, la scelta di concentrare gli sforzi su infrastrutture critiche e attori chiave della supply chain tecnologica suggerisce che l’obiettivo sia la raccolta di informazioni critiche, ma non esclude possibili ricadute anche in termini di preparazione a future azioni disruptive o di pressione strategica.
L’accesso iniziale si basa su email di spearphishing confezionate ad hoc, spesso con allegati PDF che includono link a installer di software di remote monitoring and management (RMM) ospitati su servizi di file sharing legittimi quali per esempio OneHub, Egnyte o Mega. Il pretesto è tipicamente legato all’operatività o all’IT.
Una volta che il software RMM è in esecuzione sul sistema target, gli operatori dispongono di un canale legittimo per muoversi nella rete, distribuire payload aggiuntivi e mantenere l’accesso senza dover ricorrere, almeno inizialmente, a strumenti palesemente malevoli e con un rischio molto basso di essere scoperti dalle soluzioni di difesa tradizionali.
L’evoluzione tecnica di questa campagna è costituita da Fooder, un loader personalizzato che maschera le proprie funzionalità malevole dietro all’apparenza innocua di un’applicazione simile al classico gioco Snake. Non a caso, diverse varianti del malware si presentano come eseguibili ludici o utility prive di apparente rilevanza; in realtà implementano la logica necessaria per caricare in memoria la backdoor MuddyViper, senza bisogno di scrivere il payload su disco.
Si tratta di una tecnica di reflective loading che permette di aggirare una parte significativa dei controlli basati sullo scanning e di ridurre la superficie di visibilità per quelle soluzioni che puntano sull’analisi di artefatti statici. A rendere Fooder ancora più subdolo è l’uso di una funzione di ritardo personalizzata ispirata alla logica del gioco Snake e combinata con un uso intensivo dell’API Sleep: la sequenza di pause e ritardi consente di eludere le sandbox automatizzate che si basano su finestre di osservazione limitate nel tempo.
Anche la backdoor MuddyViper merita un approfondimento. È scritta in C/C++, non è mai stata documentata e una volta attiva, è in grado di collezionare informazioni dettagliate sul sistema, eseguire file e comandi shell, trasferire file da e verso il sistema compromesso e, punto cruciale, esfiltrare credenziali di accesso a Windows e dati dei browser. Stiamo quindi parlando di una backdoor che non si limita a una funzione di presenza passiva, ma costituisce un vero e proprio hub operativo da cui orchestrare ulteriori fasi dell’attacco, inclusi movimenti laterali e preparazione di attività di lungo periodo.
Dal punto di vista della protezione dei dati esfiltrati, MuddyViper sfrutta CNG, un elemento condiviso anche da altri tool (CE‑Notes, LP‑Notes, Mimikatz), che è usato per cifrare i dati raccolti da MuddyViper e dagli stealer collegati, ed è interessante come indicatore di investimento tecnico. Parliamo infatti di una next-generation Windows cryptographic API quasi inedita per gruppi allineati all’Iran.
Accanto a MuddyViper, il toolset post-compromissione comprende poi una serie di componenti specializzati nel furto di credenziali, che vanno a comporre una catena di esfiltrazione strutturata. Tra questi spiccano CE-Notes che è mirato ai browser basati su Chromium; LP-Notes, che funge da modulo di staging e verifica dei dati rubati; e Blub, progettato per sottrarre informazioni di login da Chrome, Edge, Firefox e Opera.
La scelta di distribuire funzioni su più moduli consente una maggiore flessibilità operativa: gli operatori possono, a seconda del contesto, attivare solo i componenti strettamente necessari. Al tempo stesso, il focus sui browser e sulle credenziali di sistema aumenta le possibilità di escalation di privilegi e di accesso a servizi cloud e applicazioni SaaS, con implicazioni dirette sulla compromissione di account di amministrazione e di sistemi di gestione remota.
Nel panorama degli strumenti distribuiti nella fase successiva alla compromissione, ESET segnala poi la backdoor VAX One, il cui nome ricorda l’abitudine del gruppo di impersonare software legittimi ben noti in ambiente enterprise. In questo caso, i riferimenti includono prodotti come Veeam, AnyDesk, Xerox e il servizio di aggiornamento di OneDrive. Siamo quindi di fronte a una strategia di mimetismo applicativo, architettata per confondere i SOC chiamati a distinguere tra uso genuino e abuso di strumenti essenziali per l’operatività quotidiana. Per i difensori, la conseguenza è la necessità di spostare il baricentro verso analisi comportamentali, correlazioni di telemetrie e controlli sul modo in cui questi software vengono installati e configurati, più che sulla loro mera presenza.
Uno degli aspetti più interessanti emersi dal lavoro di ESET riguarda il comportamento degli operatori dopo aver ottenuto l’accesso alla rete target. A differenza di campagne precedenti, spesso caratterizzate da sessioni interattive caotiche (comandi digitati in modo impreciso, log facilmente attribuibili a un’azione manuale) in questa operazione MuddyWater ha deliberatamente evitato attività hands-on-keyboard, optando per flussi più automatizzati. Di modo da ridurre il footprint operativo e complicare l’individuazione dell’attacco sulla base di pattern comportamentali legati all’interazione umana diretta.