Lima, diciembre de 2025.- El equipo de investigación de ESET identificó una nueva campaña de ciberataque atribuida al grupo MuddyWater, que afectó principalmente a organizaciones de infraestructuras críticas en Israel y confirmó también un objetivo comprometido en Egipto. La operación incorporó herramientas avanzadas, entre ellas un backdoor inédito llamado MuddyViper y un loader camuflado como el clásico juego Snake.
Un ataque sofisticado con alcance regional
Según ESET, las víctimas israelíes pertenecían a sectores clave como tecnología, ingeniería, manufactura, administración local y educación. La investigación reveló que el nuevo backdoor MuddyViper permitió a los operadores recopilar información del sistema, ejecutar archivos y comandos de shell, transferir archivos y extraer credenciales de inicio de sesión de Windows y datos almacenados en navegadores.
En esta campaña, los atacantes utilizaron un cargador denominado Fooder, diseñado para ejecutar MuddyViper de manera reflexiva en memoria. Varias de sus versiones se hicieron pasar por el juego Snake, incorporando un sistema de delay inspirado en su mecánica y apoyado en llamadas frecuentes a la API Sleep, con el fin de dificultar el análisis dinámico de los especialistas en ciberseguridad.
MuddyWater y su evolución operativa
MuddyWater —también conocido como Mango Sandstorm o TA450— opera desde al menos 2017 y mantiene vínculos con el Ministerio de Inteligencia y Seguridad Nacional de Irán. El grupo es reconocido por sus ataques persistentes contra organismos gubernamentales y sectores de infraestructura crítica, combinando malware personalizado y herramientas disponibles públicamente.
El acceso inicial de estas campañas se logra habitualmente mediante correos de spearphishing que contienen archivos PDF con enlaces dirigidos a instaladores de software de supervisión y gestión remota (RMM) alojados en plataformas de intercambio de archivos como OneHub, Egnyte o Mega. Según ESET, esto permite la descarga de herramientas como Atera, Level, PDQ y SimpleHelp. De manera adicional, los operadores desplegaron el backdoor VAX-One, nombrado así por los productos legítimos que suplanta: Veeam, AnyDesk, Xerox y OneDrive.
Nuevas herramientas y mayor precisión técnica
Los investigadores de ESET indicaron que esta campaña incluyó componentes no documentados anteriormente, creados para mejorar la evasión y la persistencia del ataque. Un elemento clave fue Fooder, un loader personalizado diseñado para ejecutar el nuevo backdoor C/C++ MuddyViper. La utilización de funciones de retardo y técnicas inspiradas en mecánicas de videojuegos confirma un esfuerzo por hacer más resistente el ataque ante las soluciones de análisis automatizado.
Además, los operadores adoptaron CNG, la API criptográfica de última generación de Windows, un recurso poco frecuente en el panorama global de amenazas pero habitual entre grupos alineados con Irán. ESET observó que los atacantes evitaron las sesiones interactivas con el teclado, una práctica asociada con errores humanos y comandos mal escritos, lo que demuestra una mejora en su precisión operativa.
Al repertorio posterior al compromiso se sumaron varios ladrones de credenciales, incluidos CE-Notes, que apunta a navegadores basados en Chromium; LP-Notes, que verifica la validez de las credenciales robadas; y Blub, capaz de extraer contraseñas desde Chrome, Edge, Firefox y Opera.
Un grupo activo y en constante expansión
MuddyWater fue presentado públicamente por primera vez en 2017 por Unit 42. Su perfil coincide con las observaciones de ESET: campañas centradas en ciberespionaje, documentos maliciosos que incentivan la habilitación de macros y operaciones dirigidas principalmente a países de Oriente Medio. Entre sus acciones previas destacan la Operación Quicksand (2020), que apuntó a entidades gubernamentales y organizaciones de telecomunicaciones en Israel, así como campañas contra organizaciones políticas en Turquía.
ESET documentó también ataques recientes en Arabia Saudita durante marzo y abril de 2023, así como una campaña de enero y febrero de 2025 que mostró solapamiento operativo con el grupo Lyceum, considerado un subgrupo de OilRig. Esta colaboración indica que MuddyWater podría actuar como intermediario de acceso inicial para otros grupos relacionados con Irán.
“El despliegue de componentes previamente no documentados indica un esfuerzo por mejorar las capacidades de evasión, persistencia y robo de credenciales. El uso de técnicas de evasión inspiradas en mecánicas de juegos y un conjunto de herramientas diversificado muestra un enfoque más refinado que en campañas anteriores. Aunque estimamos que MuddyWater continuará siendo uno de los principales actores alineados con Irán, prevemos un patrón sostenido de campañas reforzadas con TTP más avanzadas”, señaló Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
ESET invita a conocer más detalles técnicos en su portal corporativo y a escuchar el podcast Conexión Segura, donde profundizan en las tendencias y riesgos actuales en seguridad informática. Esta nueva campaña vuelve a evidenciar la capacidad de MuddyWater para adaptar sus herramientas y mantener operaciones cada vez más complejas.