Puerta trasera de MuddyViper
Una reciente ola de espionaje se ha centrado en una amplia gama de organizaciones israelíes del ámbito académico, la ingeniería, la administración local, la manufactura, la tecnología, el transporte y los servicios públicos. La operación, atribuida a actores alineados con el Estado iraní, introdujo una puerta trasera previamente desconocida, denominada MuddyViper, lo que indica una nueva escalada en las tácticas del grupo. Una empresa tecnológica con sede en Egipto también quedó en el punto de mira, con la campaña en marcha desde finales de septiembre de 2024 hasta mediados de marzo de 2025.
Tabla de contenido
Un adversario familiar con capacidades en expansión
Los ataques se han vinculado a MuddyWater, también conocido como Mango Sandstorm, Static Kitten o TA450, un grupo que se cree que opera bajo el Ministerio de Inteligencia y Seguridad de Irán. Activo desde al menos 2017, MuddyWater cuenta con un amplio historial de espionaje y acciones destructivas, incluyendo campañas previas de POWERSTATS y el uso del ransomware PowGoop durante la Operación Quicksand.
Según los hallazgos publicados, el grupo continúa atacando objetivos israelíes que abarcan autoridades locales, transporte aéreo, turismo, servicios de salud, redes de telecomunicaciones, proveedores de TI y PYMES.
Su estrategia en evolución: desde la ingeniería social hasta la explotación de las debilidades de las VPN
El actor de amenazas suele recurrir a correos electrónicos de phishing selectivo y al abuso de vulnerabilidades conocidas de VPN para acceder. Históricamente, estas intrusiones implicaban el despliegue de herramientas legítimas de administración remota, un sello distintivo de las operaciones de MuddyWater. Sin embargo, desde mayo de 2024, sus correos electrónicos de phishing han comenzado a distribuir una puerta trasera sigilosa conocida como BugSleep (también llamada MuddyRot), lo que demuestra una tendencia hacia herramientas más personalizadas.
El arsenal más amplio del grupo es extenso e incluye Blackout, AnchorRat, CannonRat, Neshta y el marco Sad C2, que ayuda a propagar cargadores como TreasureBox y BlackPearl RAT.
El phishing sigue siendo el primer paso
La última ola de ataques sigue comenzando con correos electrónicos maliciosos que contienen archivos PDF adjuntos. Estos PDF dirigen a las víctimas a descargas de herramientas remotas de uso común, como Atera, Level, PDQ y SimpleHelp. Una vez establecida la amenaza, los atacantes implementan componentes más especializados.
Presentamos Fooder y MuddyViper
Esta campaña destaca un cargador llamado Fooder, diseñado para descifrar y ejecutar la puerta trasera MuddyViper, basada en C/C++. También se han observado variantes de Fooder que distribuyen utilidades de tunelización go-socks5 y la herramienta de código abierto HackBrowserData para recopilar datos del navegador de numerosas plataformas (excepto Safari).
MuddyViper otorga un amplio control, lo que permite a los operadores recopilar información del sistema, ejecutar archivos y comandos, transferir datos, y robar credenciales de Windows e información del navegador. Admite 20 comandos integrados para mantener el acceso oculto. Algunas variantes de Fooder se camuflan en el clásico juego de la Serpiente y utilizan la ejecución retardada para eludir la detección, una técnica descubierta por primera vez en septiembre de 2025.
Herramientas adicionales observadas en la operación
Los investigadores también documentaron la implementación de varias utilidades de apoyo diseñadas para la persistencia, el robo de credenciales y la recopilación de datos:
VAXOne: una puerta trasera que se hace pasar por Veeam, AnyDesk, Xerox o el actualizador de OneDrive.
CE-Notes: una herramienta de robo de datos del navegador diseñada para eludir el cifrado vinculado a la aplicación de Chrome robando la clave de cifrado del estado local.
Blub – ladrón de AC/C++ que recopila datos de inicio de sesión de Chrome, Edge, Firefox y Opera.
LP-Notes – Herramienta de recopilación de credenciales AC/C++ que muestra un mensaje de seguridad de Windows fraudulento para engañar a los usuarios para que ingresen sus datos de inicio de sesión.
Colaboración con Lyceum: surge una superposición operativa
La investigación reveló que la actividad de MuddyWater se cruzaba con las operaciones de Lyceum (también conocido como Hexane, Spirlin o Siamesekitten), un subgrupo de OilRig (APT34) activo en el espionaje cibernético regional desde al menos 2018.
Durante los incidentes identificados a principios de 2025, MuddyWater probablemente actuó como intermediario de acceso inicial dentro de una empresa manufacturera israelí mediante la implementación de herramientas de escritorio remoto y un cargador Mimikatz personalizado. Lyceum probablemente utilizó las credenciales robadas para ampliar el acceso y asumir el control operativo.
Una señal de creciente madurez operativa
La introducción de nuevos componentes, en particular el cargador Fooder y la puerta trasera MuddyViper, destaca un notable avance en la sofisticación técnica y operativa de MuddyWater. El grupo está invirtiendo claramente en mecanismos de persistencia más sigilosos, un robo de credenciales más eficiente y capacidades de reconocimiento más avanzadas.
La campaña subraya una amenaza continua y creciente por parte de ciberoperadores alineados con Irán. Su combinación de malware personalizado, cargadores ocultos, herramientas legítimas de administración remota y colaboración entre grupos sugiere que las organizaciones de la región deben mantenerse en alerta máxima y reforzar sus defensas contra estrategias de intrusión cada vez más complejas.
