Nel primo trimestre del 2026 il gruppo di cyber spionaggio MuddyWater è stato collegato a una campagna che ha colpito almeno nove organizzazioni in nove paesi distribuiti su quattro continenti. I settori presi di mira includono industria e manifattura elettronica, istruzione, enti pubblici, servizi finanziari e servizi professionali.
Tra i casi più rilevanti figura un grande produttore di elettronica in Corea del Sud, dove gli attaccanti sarebbero rimasti nella rete per circa una settimana, segnale di un accesso sufficientemente stabile da consentire raccolta dati e movimenti mirati.
La tecnica chiave osservata in questa operazione è il DLL side loading, una modalità di esecuzione che sfrutta eseguibili legittimi e firmati digitalmente per caricare DLL malevole, riducendo la probabilità di rilevamento.
Dettagli tecnici principali:
- Abuso di binari firmati: sono stati utilizzati eseguibili come fmapp.exe e sentinelmemoryscanner.exe.
- Caricamento di DLL dannose: gli eseguibili sono stati usati come copertura per avviare fmapp.dll e sentinelagentcore.dll.
- Scelta strategica dell’eseguibile: l’uso di un binario associato a un prodotto di sicurezza è considerato utile per eludere controlli basati su firme e reputazione.
All’interno delle DLL è stato rilevato anche l’utilizzo di uno strumento open source chiamato ChromElevator, impiegato per sottrarre password, cookie e dati di pagamento dai browser basati su Chromium. Il punto critico è la capacità di aggirare meccanismi di protezione come App Bound Encryption, rendendo più efficace il furto di credenziali e informazioni sensibili direttamente dai profili browser.
Un altro elemento distintivo della catena di infezione riguarda l’uso di script Node.js per lanciare codice PowerShell dedicato a discovery e raccolta informazioni.
Attività osservate:
- Ricognizione dell’ambiente e raccolta di informazioni di sistema.
- Acquisizione di screenshot.
- Furto di hive SAM.
- Tentativi di privilege escalation.
- Tunneling tramite proxy inverso SOCKS5.
- Esfiltrazione tramite servizio pubblico di file transfer: in almeno un episodio i dati sottratti sarebbero stati temporaneamente depositati su un servizio pubblico, semplificando l’esfiltrazione e riducendo la dipendenza da infrastrutture C2 tradizionali.
La campagna mostra inoltre tentativi di dump delle credenziali per facilitare il movimento laterale. Nel caso della vittima sudcoreana, gli attaccanti avrebbero ripetuto più volte la ricognizione via PowerShell e rilanciato i binari per mantenere persistenza, con una cadenza compatibile con impianti automatizzati e operazioni più silenziose e disciplinate.