El actor estatal iraní conocido como MuddyWater ha utilizado un nuevo marco de control llamado MuddyC2Go en sus ataques contra el sector de las telecomunicaciones en Egipto, Sudán y Tanzania. El equipo de Symantec Threat Hunter, parte de Broadcom, está rastreando la actividad bajo el nombre de Seedworm, también conocido como Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mango Sandstorm (anteriormente Mercury), Static Kitten, TEMP.Zagros y Yellow Nix.
MuddyWater ha estado activo desde al menos 2017 y se le atribuye estar afiliado con el Ministerio de Inteligencia y Seguridad de Irán (MOIS), singularizando principalmente entidades en el Medio Oriente. El grupo de espionaje cibernético utilizó MuddyC2Go, pero aún no se conoce la totalidad de sus capacidades, aunque el archivo viene equipado con un script de PowerShell que se conecta automáticamente al servidor C2 de Seedworm, otorgando a los atacantes acceso remoto a un sistema víctima.
Las intrusiones más recientes tuvieron lugar en noviembre de 2023 y también se descubrió que dependían de SimpleHelp y Venom Proxy, junto con un keylogger personalizado y otras herramientas públicamente disponibles. Los ataques montados por el grupo tienen un historial de phishing y vulnerabilidades conocidas en aplicaciones sin parches para obtener acceso inicial y, a continuación, realizar la recolección de datos, movimiento lateral y reconocimiento.
En los ataques registrados por Symantec contra una organización de telecomunicaciones no revelada, se ejecutó el lanzador MuddyC2Go para establecer contacto con un servidor controlado por el actor, mientras se desplegaba software legítimo de acceso remoto como AnyDesk y SimpleHelp.
La entidad ya había sido comprometida por el grupo antes en 2023, en la que se utilizó SimpleHelp para lanzar PowerShell y entregar software proxy, así como para instalar la herramienta de acceso remoto JumpCloud. «En otra compañía de telecomunicaciones y medios de comunicación a la que apuntaban los atacantes, se utilizaron múltiples incidentes de SimpleHelp para conectarse a la infraestructura conocida de Seedworm», señala Symantec. «También se ejecutó una compilación personalizada de la herramienta de hackeo Venom Proxy en esta red, así como el nuevo keylogger personalizado utilizado por los atacantes en esta actividad».
El objetivo es evadir la detección durante el mayor tiempo posible para cumplir con sus objetivos estratégicos, por lo que el grupo utiliza una combinación de herramientas públicamente disponibles y a medida. «El grupo continúa innovando y desarrollando sus herramientas cuando es necesario para mantener sus actividades bajo el radar», concluyó Symantec. «El grupo todavía hace un uso intensivo de PowerShell y las herramientas y scripts relacionados con PowerShell, subrayando la necesidad de que las organizaciones estén al tanto del uso sospechoso de PowerShell en sus redes».
Todo esto se produce después de que un grupo vinculado a Israel llamado Gonjeshke Darande afirmara la responsabilidad por un ciberataque que interrumpió la mayoría de las bombas de gas en Irán en respuesta a la agresión de la República Islámica y sus aliados en la región. Además, la Dirección de Inteligencia Militar de Israel está enlazando a dicho grupo con ataques destructivos en instalaciones de acero, estaciones de servicio y redes ferroviarias en Irán.
