El actor iraní conocido como MuddyWater ha sido observado utilizando una puerta trasera nunca antes vista como parte de una reciente campaña de ataque, alejándose de su conocida táctica de implementar software legítimo de monitoreo y administración remota (RMM) para mantener el acceso persistente. Eso es según los hallazgos independientes de las empresas de ciberseguridad Check Point y Sekoia, que han denominado en código a la cepa de malware BugSleep y MuddyRot, respectivamente. «En comparación con las campañas anteriores, esta vez MuddyWater cambió su cadena de infección y no se basó en la herramienta legítima de monitoreo y administración remota (RRM) Atera como validador», dijo Sekoia en un informe compartido con The Hacker News. «En cambio, observamos que utilizaron un implante nuevo y no documentado». Algunos elementos de la campaña fueron compartidos por primera vez por la empresa de ciberseguridad israelí ClearSky el 9 de junio de 2024. Los objetivos incluyen países como Turquía, Azerbaiyán, Jordania, Arabia Saudita, Israel y Portugal. MuddyWater (también conocido como Boggy Serpens, Mango Sandstorm y TA450) es un actor de amenazas patrocinado por el estado que se considera afiliado al Ministerio de Inteligencia y Seguridad de Irán (MOIS). Los ataques cibernéticos organizados por el grupo han sido bastante consistentes, aprovechando señuelos de phishing en mensajes de correo electrónico para entregar varias herramientas de RMM como Atera Agent, RemoteUtilities, ScreenConnect, SimpleHelp y Syncro. A principios de abril, HarfangLab dijo que notó un repunte en las campañas de MuddyWater que entregaban Atera Agent desde fines de octubre de 2023 a empresas en Israel, India, Argelia, Turquía, Italia y Egipto. Los sectores atacados incluyen aerolíneas, empresas de TI, telecomunicaciones, farmacéutica, fabricación de automóviles, logística, viajes y turismo. «MuddyWater otorga una alta prioridad a obtener acceso a cuentas de correo electrónico comerciales como parte de sus campañas de ataque en curso», señaló la firma de ciberseguridad francesa en ese momento. «Estas cuentas comprometidas sirven como recursos valiosos, lo que permite al grupo mejorar la credibilidad y la eficacia de sus esfuerzos de phishing selectivo, establecer persistencia dentro de las organizaciones objetivo y evadir la detección al mezclarse con el tráfico legítimo de la red». Las últimas cadenas de ataque no son diferentes en el sentido de que las cuentas de correo electrónico comprometidas que pertenecen a empresas legítimas se utilizan para enviar mensajes de phishing selectivo que contienen un enlace directo o un archivo PDF adjunto que apunta a un subdominio de Egnyte, que el actor de la amenaza ha abusado previamente para propagar Atera Agent. BugSleep, también conocido como MuddyRot, es un implante x64 desarrollado en C que viene equipado con capacidades para descargar/cargar archivos arbitrarios hacia/desde el host comprometido, iniciar un shell inverso y configurar la persistencia. Las comunicaciones con un servidor de comando y control (C2) se realizan a través de un socket TCP sin formato en el puerto 443. «El primer mensaje que se envía al C2 es la huella digital del host de la víctima, que es la combinación del nombre de host y el nombre de usuario unidos por una barra», dijo Sekoia. «Si la víctima recibió ‘-1’, el programa se detiene; de ​​lo contrario, el malware entra en un bucle infinito a la espera de una nueva orden del C2». Actualmente no está claro por qué MuddyWater ha pasado a utilizar un implante a medida, aunque se sospecha que el aumento de la supervisión de las herramientas RMM por parte de los proveedores de seguridad puede haber jugado un papel. «El aumento de la actividad de MuddyWater en Oriente Medio, especialmente en Israel, pone de relieve la naturaleza persistente de estos actores de amenazas, que siguen operando contra una amplia variedad de objetivos en la región», dijo Check Point. «Su uso constante de campañas de phishing, que ahora incorporan una puerta trasera personalizada, BugSleep, marca un desarrollo notable en sus técnicas, tácticas y procedimientos (TTP)». ¿Te ha parecido interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.