Il gruppo di hacker legato all’Iran, conosciuto come MuddyWater, è stato recentemente protagonista di una campagna di cyber attacchi mirata contro diversi settori israeliani, tra cui università, enti locali, aziende di ingegneria, manifattura, tecnologia, trasporti e utility. Questa ondata di attacchi ha portato alla scoperta di un nuovo malware backdoor chiamato MuddyViper, strumento centrale nelle strategie di spionaggio informatico adottate dal gruppo.
MuddyWater è associato al Ministero dell’Intelligence iraniano ed è attivo dal 2017, con una lunga storia di operazioni contro organizzazioni del Medio Oriente, spesso utilizzando malware personalizzati e strumenti pubblicamente disponibili. Gli attacchi più recenti, avvenuti tra settembre 2024 e marzo 2025, hanno preso di mira anche una società tecnologica egiziana, mostrando l’ampiezza geografica delle operazioni del gruppo.
Tecniche di attacco
Le tecniche di attacco di MuddyWater prevedono principalmente campagne di spear-phishing e lo sfruttamento di vulnerabilità note nelle infrastrutture VPN, seguite dal rilascio di strumenti di gestione remota legittimi per l’accesso alle reti delle vittime. Dal maggio 2024, i cybercriminali hanno iniziato a distribuire anche il backdoor BugSleep, oltre a una serie di RAT (Remote Administration Tool) come Blackout, AnchorRat e CannonRat, e a strumenti per il furto di credenziali come Neshta e Sad C2.
Nuovi strumenti rilevati
Particolare attenzione merita il loader Fooder, progettato per decifrare ed eseguire il backdoor MuddyViper. Quest’ultimo consente agli attaccanti di eseguire comandi, trasferire file, raccogliere informazioni di sistema e rubare credenziali di accesso a Windows e dati dei browser. Fooder è stato identificato in diverse varianti che simulano il classico gioco Snake, con tecniche di esecuzione ritardata per eludere i sistemi di sicurezza.
Tra gli altri strumenti usati da MuddyWater si segnalano VAXOne, che si maschera da software legittimo come Veeam o AnyDesk, CE-Notes e Blub, entrambi stealer di dati browser, e LP-Notes, che induce l’utente a fornire le proprie credenziali tramite una falsa finestra di sicurezza di Windows.
Collaborazioni tra gruppi
Sono stati osservati anche legami e collaborazioni operative tra MuddyWater e altri gruppi iraniani come Lyceum e OilRig, con i primi che spesso fungono da broker per l’accesso iniziale alle reti compromesse, facilitando l’escalation di privilegi e il controllo totale dei sistemi vittima.
Questi attacchi confermano l’evoluzione delle tattiche di MuddyWater, puntando su maggiore furtività, persistenza e capacità di harvesting delle credenziali, rappresentando una minaccia significativa per la sicurezza informatica delle infrastrutture critiche in Israele e nella regione.
