¿Abriste un correo de un «diplomático»? Enhorabuena: ahora estás en la base de datos de Teherán
MuddyWater demuestra que para comprometer un ministerio bastaron un mensaje cortés y la curiosidad de un funcionario
En el marco de una de las operaciones de ciberespionaje más extensas de los últimos tiempos, el grupo iraní MuddyWater atacó a más de cien organizaciones en todo Oriente Medio y el Norte de África. En el foco estuvieron misiones diplomáticas, ministerios de Asuntos Exteriores, consulados, así como empresas de telecomunicaciones e instituciones internacionales. La campaña tuvo como objetivo la recopilación de información de inteligencia y abarcó no solo organismos estatales, sino también infraestructuras de alto valor.
El ataque comenzó con la compromisión de un buzón de correo, a través del cual los miembros del grupo enviaron correos de phishing. Para acceder a la cuenta se utilizó el servicio NordVPN, lo que permitía eludir restricciones geográficas y ocultar rastros. Los mensajes se hacían pasar por correspondencia oficial, lo que incrementó considerablemente las probabilidades de que los destinatarios abrieran los archivos adjuntos.
La cadena de infección se basaba en documentos maliciosos de Microsoft Word que contenían macros. Tras la activación del macro en el dispositivo de la víctima se ejecutaba código en VBA que, a su vez, iniciaba la descarga de la versión 4 del programa malicioso Phoenix. Este se descargaba mediante el componente FakeUpdate, que descifraba y escribía la carga útil en disco. Dicha carga estaba cifrada con el algoritmo AES y ocultaba capacidades de control remoto del sistema.
Según la empresa Group-IB, Phoenix constituye una variante simplificada de otra herramienta maliciosa —BugSleep— escrita en Python. El análisis identificó tanto la tercera como la cuarta versiones de este programa. Ambas modificaciones son capaces de mantener persistencia en el sistema, recopilar información sobre el dispositivo, iniciar una consola de comandos y transferir archivos entre la máquina infectada y el servidor de mando.
Además del propio programa malicioso, en el servidor de mando con la dirección IP 159.198.36[.]115 los especialistas detectaron utilidades para administración remota y una herramienta para robar credenciales de navegadores. Esta última estaba orientada a recopilar información de Brave, Chrome, Edge y Opera, lo que indica un intento de abarcar las aplicaciones más populares. También se emplearon herramientas legítimas de gestión remota, como PDQ y Action1, lo que evidencia la capacidad de los atacantes para combinar sus desarrollos con software legal para aumentar su sigilo.
El grupo MuddyWater, también conocido por muchos otros nombres, incluidos Seedworm y Static Kitten, se considera afiliado al Ministerio de Inteligencia y Seguridad Nacional de Irán. Su actividad se sigue al menos desde 2017, y el método principal continúa siendo ataques de phishing con la descarga posterior de módulos maliciosos. La campaña más reciente confirma la alta adaptabilidad técnica de los operadores y su empeño por ampliar las herramientas para mantener un acceso persistente a los sistemas infectados.