El sofisticado grupo de piratas informáticos de Irán, conocido comúnmente como MuddyWater, ha sido asociado recientemente a una campaña de spear-phishing dirigida a dos organizaciones israelíes. El objetivo principal de esta campaña es explotar las vulnerabilidades y, en última instancia, infiltrarse en las entidades objetivo. Una vez lograda la infiltración, MuddyWater pretende emplear una herramienta legítima de administración remota llamada Advanced Monitoring Agent, proporcionada por N-able, para obtener acceso no autorizado y control sobre los sistemas comprometidos.
Según la empresa de ciberseguridad Deep Instinct, la reciente campaña muestra nuevas tácticas, técnicas y procedimientos (TTP) que son similares a la actividad anterior de MuddyWater. Este grupo ha utilizado históricamente cadenas de ataque similares para distribuir varias herramientas de acceso remoto como ScreenConnect, RemoteUtilities, Syncro y SimpleHelp.
Este hecho reciente representa el primer caso en el que se ha detectado a MuddyWater utilizando el software de monitorización remota de N-able. Sin embargo, también pone de relieve la eficacia constante de las tácticas del actor de la amenaza, que han sufrido mínimas alteraciones a lo largo del tiempo.
Los resultados de la investigación también han recibido la validación independiente de Group-IB, una empresa de ciberseguridad, según se afirma en una publicación en X (antes conocido como Twitter).
Se cree que el grupo de ciberespionaje identificado como entidad patrocinada por el Estado opera bajo la supervisión del Ministerio de Inteligencia y Seguridad (MOIS) de Irán. Este grupo forma parte de una red más amplia de clústeres asociados al MOIS, entre los que se incluyen OilRig, Lyceum, Agrius y Scarred Manticore. Activo desde 2017, sus actividades han sido motivo de preocupación en el ámbito de la ciberseguridad.
En casos anteriores de ciberataques, el método utilizado consistía en el envío de correos electrónicos fraudulentos, conocidos comúnmente como spear-phishing, que contenían enlaces directos. Estos correos también incluían archivos adjuntos en formatos como HTML, PDF y RTF, que contenían enlaces a archivos almacenados en diferentes plataformas de intercambio de archivos. Estos archivos, a su vez, instalaban una de las herramientas de administración remota mencionadas anteriormente.
Las estrategias y tecnologías más recientes pueden considerarse tanto una progresión como una transformación para la organización comúnmente conocida como Mango Sandstorm y Static Kitten.
Un cambio notable en el escenario actual es la adopción de una nueva plataforma de intercambio de archivos conocida como Storyblok para iniciar un método de propagación de la infección en varios pasos.
Una vez que el objetivo ha sido comprometido, el operador afiliado a MuddyWater establecerá una conexión con el host comprometido a través de una herramienta legítima de administración remota. A partir de ahí, iniciará actividades de reconocimiento para recopilar información sobre el objetivo.
El tentador documento presentado al objetivo es un memorando auténtico emitido por la Comisión de la Función Pública israelí, accesible para descarga pública en su sitio web oficial.
Deep Instinct ha identificado otro indicio del rápido avance de las capacidades cibernéticas maliciosas de Irán. Han descubierto que los actores de MuddyWater utilizan ahora un nuevo marco de mando y control llamado MuddyC2Go, considerado el sucesor de MuddyC3 y PhonyC2.