Ирански държавно подкрепяни хакерски звена значително разширяват мащаба и сложността на операциите си, насочвайки удари към широк спектър от израелски организации – от университети и инженерен сектор до транспорт, енергетика и държавна администрация. Според нов анализ на ESET зад последната кампания стои групировката MuddyWater (Mango Sandstorm, Static Kitten, TA450), която е свързвана с иранското Министерство на разузнаването и сигурността (MOIS).

Кампанията се е развивала в периода септември 2024 г. – март 2025 г., включително и атака срещу технологична компания в Египет, и разкрива напълно нов бекдор, наречен MuddyViper.

От POWERSTATS до MuddyViper: 8 години непрекъсната еволюция

MuddyWater е активна поне от 2017 г., когато е идентифицирана чрез бекдора POWERSTATS, използван в атаки срещу Близкия изток. По-късно групата развива по-деструктивни кампании като Operation Quicksand, при която израелски организации бяха поразени с модифициран вариант на Thanos ransomware, наречен PowGoop.

Според данни на Israel National Cyber Directorate (INCD) MuddyWater е атакувала:

• местни власти

• гражданска авиация

• здравеопазване

• туризъм

• телекомуникации

• IT компании

• малки и средни предприятия

Типичната атака: фишинг + компрометирани VPN системи + легитимни инструменти

Групировката прилага вече познат хибриден модел:

• спиър-фишинг кампании

• експлоатиране на уязвимости във VPN инфраструктура

• разгръщане на напълно легитимни инструменти за дистанционен достъп (Atera, Level, PDQ, SimpleHelp)

От 2024 г. към тези атаки се добавя и бекдорът BugSleep (MuddyRot).

„Арсеналът“ на MuddyWater: RAT инструменти, крадци на данни и C2 рамки

Групировката демонстрира широк набор от инструменти:

• Blackout – RAT с отдалечено управление

• AnchorRat, CannonRat – инструменти за качване, сваляне и изпълнение на команди

• Neshta – класически вирус за заразяване на файлове

• Sad C2 – C2 инфраструктура, разпространяваща BlackPearl RAT и компонента Pheonix

Новите елементи: Fooder и MuddyViper

Последната кампания се отличава със:

Fooder

Loader, който:

• декриптира и зарежда бекдора MuddyViper

• в някои случаи инсталира go-socks5 тунели

• използва HackBrowserData за извличане на информация от браузъри

• в някои варианти се маскира като класическата игра Snake и въвежда забавено изпълнение за избягване на детекция

MuddyViper

Новият бекдор позволява:

• събиране на системна информация

• изпълнение на файлове и shell команди

• прехвърляне и ексфилтрация на файлове

• кражба на Windows идентификационни данни

• извличане на браузър данни

• 20 отделни управляващи команди

Допълнителни инструменти, наблюдавани в кампанията

• VAXOne – бекдор, представящ се като Veeam, AnyDesk, Xerox или OneDrive updater

• CE-Notes – инструмент, който краде данни от Chrome, заобикаляйки app-bound криптиране

• Blub – многофункционален C/C++ крадец на данни (Chrome, Edge, Firefox, Opera)

• LP-Notes – credential stealer с фалшив Windows Security диалог

Връзка между MuddyWater и Lyceum: новият модел на иранска координация

ESET открива оперативен синхрон между MuddyWater и друга иранска групировка – Lyceum (Hexane, Spirlin, Siamesekitten), част от екосистемата на OilRig (APT34).

През януари и февруари 2025 г. MuddyWater вероятно е действала като initial access broker, предоставяйки:

• откраднати идентификационни данни

• отворени RDP канали

• custom Mimikatz loader

Lyceum е използвала този достъп за по-дълбоко проникване в индустриални цели в Израел.

Това подсказва по-висока степен на оперативна зрялост и координация между иранските киберзвена.

KittenBusters и изтичането на документи за APT35/Charming Kitten

Паралелно със случаите на MuddyWater, други звена като APT42/Charming Kitten попадат във фокуса след мащабно изтичане на вътрешни документи.

Файловете, публикувани през септември и октомври 2025 г. от анонимната група KittenBusters, разкриват:

• вътрешна структура на Unit 1500 (контраразузнавателно звено на IRGC)

• списък с командири и ключови фигури

• детайлен workflow: отчети, KPI за фишинг, часови норми за рекогносцировка

• изтекъл пълен изходен код на малуера BellaCiao

Описанията на експертите са красноречиви:
„История, написана на PowerShell и персийски“, „пълна карта на IRGC Unit 1500“.

MuddyViper сигнализира нов етап в иранската киберстратегия

Анализът на ESET показва ясно:

• по-висок оперативен контрол

• по-добра координация между отделни APT групи

• разширено портфолио от бекдори, инструменти за кражба на данни и C2 инфраструктури

MuddyViper и Fooder подчертават стремежа към:

• по-дълбока незабележимост

• по-трайна устойчивост в компрометирани системи

• по-агресивно събиране на идентификационни данни

Кампанията показва, че Иран продължава да инвестира в цялостна киберекосистема, която функционира като държавна агенция, а не като разпокъсани хакерски групи.