Nieuwe spionagecampagne van Iran-gelieerde hackersgroep MuddyWater ontdekt

De campagne is ontdekt door onderzoekers van ESET. MuddyWater, ook bekend onder de namen Mango Sandstorm en TA450, staat bekend om het langdurig aanvallen van overheidsinstellingen en organisaties binnen kritieke infrastructuur. De groep wordt gelinkt aan het Iraanse ministerie van Inlichtingen en Nationale Veiligheid en maakt gebruik van zowel zelfontwikkelde malware als openbare tools.

Verschillende tools ingezet

In deze campagne zette MuddyWater een reeks tot nu toe ongedocumenteerde tools in, met als doel detectie te ontwijken en langdurige toegang tot systemen te verkrijgen. De belangrijkste tool is MuddyViper, een backdoor waarmee aanvallers systeeminformatie kunnen verzamelen, bestanden en opdrachten kunnen uitvoeren, bestanden kunnen overdragen en Windows-inloggegevens en browserdata kunnen stelen. Voor extra datadiefstal werden aanvullende credential stealers gebruikt.

Een opvallende tool is Fooder, een loader die zich voordoet als het klassieke Snake-spel en MuddyViper onopgemerkt in het geheugen laadt en uitvoert.

Spearphishing

De aanvallen begonnen meestal met spearphishing-e-mails met PDF-bijlagen die linken naar installatieprogramma’s voor remote monitoring and management (RMM)-software. Deze werden gehost op platforms zoals OneHub, Egnyte en Mega. Onder de gedownloade tools bevonden zich Atera, Level, PDQ en SimpleHelp. Daarnaast werd de VAX One-backdoor ingezet, die zich voordoet als legitieme software zoals Veeam, AnyDesk, Xerox of de OneDrive-updateservice.

Hoewel MuddyWater vaak bekende tactieken gebruikt die relatief eenvoudig te detecteren zijn, paste de groep in deze campagne ook geavanceerdere methodes toe. Zo werd MuddyViper geladen via Fooder, dat meerdere versies kent en zich vermomt als Snake-spel. Een belangrijk kenmerk is een aangepaste vertragingstechniek die het gedrag van het spel simuleert en gebruikmaakt van Sleep-API’s, waarmee detectie door automatische analysetools wordt vermeden.

CNG ingezet

Op technisch vlak valt het gebruik van CNG (Cryptography API: Next Generation) op, een Windows-API die zelden wordt ingezet door Iraans-gelieerde groepen. Daarnaast vermeden de aanvallers bewust interactieve sessies via toetsenborden, een methode die vaak veel sporen achterlaat.

• De gebruikte tools na systeeminbraak omvatten onder meer:
• CE-Notes, gericht op Chromium-gebaseerde browsers
• LP-Notes, dat gestolen inloggegevens verifieert en verwerkt
• Blub, dat login-informatie steelt uit Chrome, Edge, Firefox en Opera

Focus op spionage

MuddyWater werd voor het eerst beschreven door Unit 42 in 2017. De toen vastgestelde werkwijze komt overeen met het huidige profiel: gericht op spionage, gebruik van malafide documenten om gebruikers te verleiden macro’s in te schakelen, en een focus op doelwitten in het Midden-Oosten.

Bekende operaties van MuddyWater zijn onder andere Operation Quicksand (2020), gericht op Israëlische overheidsinstellingen en telecombedrijven, en een campagne tegen politieke groepen in Turkije, waarbij de groep zich aanpaste aan lokale contexten met social engineering en modulaire malware.

Meerdere campagnes uitgevoerd

ESET documenteerde eerder meerdere campagnes van MuddyWater, waaronder aanvallen in maart en april 2023 op een onbekende partij in Saoedi-Arabië en een campagne in januari-februari 2025 met overlap met Lyceum, een subgroep van OilRig. Dit wijst erop dat MuddyWater mogelijk optreedt als initial access broker voor andere Iraans-gelieerde groeperingen.

Een uitgebreide analyse is hier beschikbaar.