MuddyWater rośnie w siłę: nowe narzędzia Fooder i MuddyViper uderzają w Izrael

Irańska grupa cyberwywiadowcza MuddyWater weszła na wyższy poziom. Według ESET, w kampanii prowadzonej od końca 2024 do marca 2025 aktorzy zastosowali nowe, trudniejsze do wykrycia narzędzia i techniki.

Kluczową rolę odegrał loader „Fooder”, działający wyłącznie w pamięci. Ukryto go pod postacią gry „Snake”, a jego działanie spowalniano celowym opóźnieniem, aby zmylić sandboxy i analizy behawioralne.

Z jego pomocą MuddyWater instalował nowy backdoor „MuddyViper”, dający pełną kontrolę nad zainfekowanym systemem — od wykonywania komend, po kradzież danych i utrzymywanie stałego dostępu.

Operatorzy używali również własnych credential stealerów (m.in. CE-Notes, LP-Notes, Blub) oraz reverse tuneli do wynoszenia informacji. Badacze zwracają uwagę na korzystanie z natywnej kryptografii CNG, świadczące o bardziej profesjonalnym podejściu.

ESET zauważył także współpracę z Lyceum, inną irańską grupą APT. W co najmniej jednym przypadku MuddyWater zapewnił dostęp, który później wykorzystało Lyceum.

Choć w arsenale nadal są elementy łatwe do wykrycia, np. skrypty PowerShell i komponenty w Go, cała kampania jasno pokazuje, że MuddyWater przechodzi z hałaśliwych ataków na cichą, ukrytą operacyjność.

Główne cele to Izrael, ale potwierdzono też ofiarę w Egipcie.

Źródło:
DarkReading