Muddywater

O grupo de hackers iraniano MuddyWater foi identificado utilizando uma nova backdoor chamada UDPGangster, que opera através do protocolo UDP para fins de comando e controle (C2). A atividade de ciberespionagem tem como alvo usuários na Turquia, Israel e Azerbaijão, conforme relatado pelo Fortinet FortiGuard Labs. O malware permite o controle remoto de sistemas comprometidos, possibilitando a execução de comandos, exfiltração de arquivos e implantação de cargas adicionais, tudo isso através de canais UDP que visam evitar defesas de rede tradicionais.

Um grupo de hackers iranianos conhecido como MuddyWater tem chamado a atenção de especialistas em cibersegurança por utilizar uma técnica inspirada no jogo da cobrinha, popular nos anos 90, para realizar ataques de espionagem. Recentemente, o grupo tem atacado organizações israelenses com um novo malware chamado Fooder, que se destaca por sua capacidade de camuflagem. Essa técnica permite que o malware permaneça inativo por um longo período após a infecção, evitando a detecção até que o sistema seja completamente analisado. O Fooder se ativa apenas após uma inspeção detalhada, alterando seu comportamento conforme as ações do usuário. Historicamente, o MuddyWater tem utilizado e-mails de spear-phishing com anexos maliciosos, mas a nova abordagem demonstra uma evolução em suas táticas, tornando-se mais sofisticada e difícil de rastrear. A detecção dessa técnica levanta preocupações sobre a capacidade do grupo de esconder suas atividades, o que pode representar um risco significativo para a segurança digital de organizações em todo o mundo.

Recentemente, entidades israelenses de diversos setores, incluindo tecnologia e infraestrutura crítica, foram alvo de uma nova onda de ataques cibernéticos atribuídos ao grupo de hackers MuddyWater, vinculado ao Ministério da Inteligência e Segurança do Irã. Os ataques introduziram um backdoor inédito chamado MuddyViper, que permite aos invasores coletar informações do sistema, executar comandos e exfiltrar credenciais de login. As campanhas de phishing, que utilizam e-mails com anexos PDF, têm como objetivo infiltrar redes por meio de ferramentas de gerenciamento remoto legítimas. Além do MuddyViper, o grupo utiliza uma variedade de ferramentas, como Fooder, um loader que executa o backdoor, e outros RATs (Remote Access Trojans) que facilitam o controle remoto das máquinas comprometidas. A evolução das táticas do MuddyWater indica um aumento na sofisticação operacional, com um foco em furtividade e persistência. O ataque também coincide com a divulgação de documentos internos de um grupo de hackers iraniano, revelando uma estrutura organizacional complexa e hierárquica, o que sugere um aparato cibernético estatal bem estruturado. Essa situação levanta preocupações sobre a segurança cibernética em setores críticos, especialmente em um contexto onde o Brasil também enfrenta desafios semelhantes em sua infraestrutura.

Um novo relatório da Group-IB Threat Intelligence revelou uma campanha de espionagem sofisticada conduzida pelo grupo MuddyWater, vinculado ao Irã, que está atacando mais de 100 organizações governamentais e internacionais em todo o mundo. A operação utiliza contas de e-mail comprometidas acessadas através de um nó de saída do NordVPN na França para distribuir documentos maliciosos do Microsoft Word que contêm o malware Phoenix backdoor versão 4. Essa campanha de phishing sofisticada explora técnicas de engenharia social, levando os destinatários a ativar macros para visualizar o conteúdo, o que contorna os filtros de segurança convencionais.

O grupo de ameaças persistentes avançadas (APT) MuddyWater, vinculado ao Irã, lançou uma operação de ciberespionagem sofisticada utilizando um novo toolkit de malware. A campanha, atribuída com alta confiança pela Group-IB Threat Intelligence, envolve o uso do backdoor Phoenix v4, ferramentas personalizadas e software legítimo de monitoramento remoto. O ataque começou com o acesso a uma caixa de correio comprometida via NordVPN, permitindo a distribuição de e-mails maliciosos que pareciam legítimos. Esses e-mails continham anexos do Microsoft Word que, ao terem suas macros ativadas, executavam um código VBA embutido, que por sua vez injetava o backdoor no sistema. O Phoenix v4 estabelece comunicação remota e coleta dados do sistema, mantendo-se ativo mesmo após reinicializações. A operação visou mais de 100 organizações governamentais e internacionais, destacando a crescente maturidade técnica do MuddyWater e a necessidade urgente de controles de defesa mais robustos, como a restrição de macros e o monitoramento de ferramentas de RMM. Os indicadores de comprometimento (IOCs) incluem domínios e hashes específicos, que podem ajudar na identificação de sistemas afetados.

O grupo de ciberespionagem iraniano MuddyWater está por trás de uma nova campanha que utiliza uma conta de e-mail comprometida para distribuir um backdoor chamado Phoenix. Este ataque visa mais de 100 entidades governamentais na região do Oriente Médio e Norte da África (MENA), com foco em embaixadas, ministérios de Relações Exteriores e organizações internacionais. A campanha se destaca pelo uso de e-mails de phishing que parecem autênticos, aumentando a probabilidade de que os destinatários abram anexos maliciosos. Os pesquisadores de segurança da Group-IB relataram que o ataque envolve documentos do Microsoft Word que, ao serem abertos, solicitam que os usuários ativem macros, permitindo a execução de código VBA malicioso que instala o backdoor Phoenix. Este backdoor é carregado por um loader chamado FakeUpdate, que contém um payload criptografado. MuddyWater, que opera desde 2017 e está associado ao Ministério da Inteligência e Segurança do Irã, demonstrou uma capacidade aprimorada de integrar código personalizado com ferramentas comerciais para aumentar a furtividade e a persistência do ataque. A campanha representa um risco significativo para a segurança cibernética, especialmente para organizações governamentais e diplomáticas na região.

Em 2025, o grupo MuddyWater evoluiu suas táticas de ataque, utilizando uma suíte de malware personalizada e multiestágio, focada em furtividade e resiliência. O ataque inicial é realizado por meio de e-mails de spear-phishing que contêm documentos maliciosos do Office. Ao serem abertos, esses documentos executam macros VBA que implantam um loader de primeira fase chamado Fooder. Este loader utiliza APIs criptográficas do Windows para derivar chaves AES e RSA, permitindo a descriptografia de cargas úteis subsequentes diretamente na memória, evitando a detecção por sandboxes.