MuddyWater
MuddyWater, también conocido como Mango Sandstorm o SeedWorm, es una APT que se ha atribuido al Gobierno de Irán, concretamente bajo la gestión del Ministerio de Inteligencia y Seguridad Nacional. Aunque inicialmente se pensó que el adversario operaba de forma independiente y no bajo el amparo de un Estado, más tarde se atribuyó a Irán. Fue detectado por primera vez en el horizonte de amenazas en 2017, siendo su principal objetivo llevar a cabo operaciones de espionaje.
Se le atribuyen campañas de ciberespionaje dirigidas principalmente contra organizaciones gubernamentales y del sector privado en Oriente Medio, aunque también se ha observado actividad en Europa, Asia y Estados Unidos.
De igual manera que otras APTs, MuddyWater emplea técnicas como la ingeniería social y spear-phishing para obtener acceso inicial a los equipos de las víctimas. El adversario también posee sofisticación suficiente como para usar su propio malware personalizado – en este caso los más conocidos son “POWERSTATS” y “SharpStage”
Como es común cuando se dan eventos armados convencionales de gran magnitud – como una guerra – MuddyWater intensificó sus actividades tras el inicio del conflicto armado entre Israel y Palestina. Aprovechando la inestabilidad regional, el adversario ha dirigido ataques de ciberespionaje y sabotaje contra infraestructuras críticas y entidades gubernamentales en Israel. Estas actividades han impactado diversos sectores, desde el Gubernamental a medios de comunicación o sector salud.
En este contexto destaca la campaña que llevó a cabo en julio de 2024. En esta desplegó una puerta trasera personalizada denominada “BugSleep” que no había sido observada con anterioridad. BugSleep estaba diseñada para ejecutar comandos, establecer persistencia y transferir archivos entre el equipo comprometido y el servidor de Comando y Control (C2). El malware se distribuyó a través de correos de phishing enviados desde cuentas comprometidas, que contenían enlaces a archivos maliciosos alojados en servicios legítimos de intercambio de archivos como Egnyte.
