El grupo de ciberespionaje iraní MuddyWater usa el juego Snake para infiltrarse en infraestructuras críticas
Un nuevo y sofisticado ciberataque ha sido identificado por el equipo de ESET, dirigido por el grupo de ciberespionaje MuddyWater, vinculado con Irán.
El ataque está principalmente enfocado en organizaciones de infraestructuras críticas en Israel, aunque también se ha confirmado un objetivo en Egipto. Utilizando un backdoor denominado MuddyViper, los atacantes buscan recopilar información, ejecutar comandos, robar credenciales y tomar control remoto de los sistemas infectados.
Afirman que lo más inquietante es que los atacantes han desplegado técnicas avanzadas y herramientas personalizadas para evadir las defensas tradicionales.
De acuerdo con los especialistas, la campaña maliciosa empleó un loader personalizado llamado Fooder, que se presenta como el clásico juego Snake. Este juego, al parecer inofensivo, tiene una lógica diseñada para introducir retrasos en la ejecución de los comandos, dificultando el análisis dinámico automatizado. Según ESET, esta técnica de evasión demuestra la creciente sofisticación del grupo, que ahora se enfoca no solo en obtener acceso inicial, sino en mejorar la persistencia y la evasión a largo plazo.
MuddyWater, también conocido como Mango Sandstorm o TA450, es un grupo activo desde 2017 y tiene un historial de ataques dirigidos a gobiernos y sectores de infraestructura crítica.
Los cibercriminales suelen utilizar spearphishing, enviando correos electrónicos que contienen archivos PDF con enlaces a software malicioso, como herramientas de gestión remota que les permiten tomar control de las máquinas infectadas. Entre las herramientas más recientes que han usado se encuentra el backdoor VAX-One, que imita productos legítimos como Veeam y AnyDesk.
Además de su clásico arsenal, MuddyWater ha implementado nuevos ladrones de credenciales en esta campaña, como CE-Notes (dirigido a navegadores basados en Chromium), LP-Notes (para verificar credenciales robadas) y Blub (para robar datos de inicio de sesión de Chrome, Edge y Firefox).
Estas herramientas permiten a los atacantes acceder a las cuentas de los usuarios, ampliando las posibilidades de espionaje y ataque en entidades clave de la región.
Lo que hace aún más peligrosa esta campaña es la adopción de técnicas criptográficas avanzadas por parte de los atacantes. Usando la API CNG de Windows, exclusiva para grupos como MuddyWater, los atacantes logran evitar la detección.
También modificaron sus tácticas para evitar la interacción directa con el teclado, una técnica que los hacía más fáciles de rastrear en operaciones pasadas. Esto muestra una evolución técnica hacia métodos más precisos y sofisticados, lo que complica aún más la defensa contra estos ataques.
ESET destaca que esta nueva campaña refleja una evolución en la madurez operativa de MuddyWater. Desde ataques más básicos hasta estrategias complejas con herramientas personalizadas, el grupo sigue demostrando una capacidad impresionante para adaptarse y lanzar campañas más difíciles de prevenir.
Según Camilo Gutiérrez, jefe del Laboratorio de Investigación de ESET Latinoamérica, “este tipo de campañas demuestra la creciente sofisticación de los grupos alineados con Irán, que ahora están empleando técnicas avanzadas para ejecutar operaciones más eficientes y difíciles de defender”.
