●
ESET
Research a identifié de nouvelles activités de MuddyWater (groupe de
cyberespionnage lié à l'Iran) ciblant des organisations d'infrastructures
critiques en Israël et une cible confirmée en Égypte
●
Le
groupe a utilisé des techniques plus avancées pour déployer MuddyViper, une
nouvelle porte dérobée, grâce à un chargeur (Fooder) qui la charge en mémoire
et l'exécute.
●
ESET
fournit des analyses techniques des outils utilisés dans cette campagne.
MONTREAL,
BRATISLAVA, le 2 décembre 2025 — ESET Research a
identifié une nouvelle activité de MuddyWater ciblant principalement des
organisations en Israël, avec une cible confirmée en Égypte. En Israel, les
victimes appartiennent aux secteurs de la technologie, de l'ingénierie, de la
production, des collectivités locales et de l'éducation. MuddyWater, aussi
appelé Mango Sandstorm ou TA450, est un groupe de cyberespionnage lié à l'Iran,
connu pour ses attaques répétées contre les secteurs gouvernementaux et les
infrastructures critiques. Il utilise souvent des maliciels personnalisés et
des outils publics, et a des liens avec le ministère iranien du Renseignement
et la Sécurité nationale. Dans cette campagne, les attaquants ont déployé un
série d'outils personnalisés, encore non documentés, pour mieux contourner les
défenses. La nouvelle porte dérobée MuddyViper leur permet de collecter des
informations système, d'exécuter des fichiers et des commandes shell, de
transférer des fichiers et d'exfiltrer les identifiants de connexion Windows
ainsi que les données de navigation. La campagne utilise aussi d'autres voleurs
d'identifiants, dont Fooder, un chargeur personnalisé qui se fait passer pour
le jeu Snake.
Dans
cette campagne, l'accès initial s’obtient par le biais de mails d'hameçonnage
ciblés, contenant souvent des pièces jointes PDF renvoyant vers des programmes
d'installation de logiciels de surveillance et de gestion à distance (RMM)
hébergés sur des plateformes de partage de fichiers gratuites telles que
OneHub, Egnyte ou Mega. Ces liens permettent de télécharger des outils comme
Atera, Level, PDQ et SimpleHelp. Parmi les outils utilisés par les opérateurs
de MuddyWater il y a la porte dérobée VAX One, qui fait référence aux logiciels
légitimes qu'elle imite : Veeam, AnyDesk, Xerox et le service de mise à
jour OneDrive.
L’utilisation
de ce mode opératoire rend l’activité du groupe assez facile à détecter et à
bloquer. Mais, dans le cas présent, le groupe a utilisé des techniques plus
avancées pour déployer MuddyViper, une nouvelle porte dérobée, grâce à un
chargeur (Fooder) qui charge MuddyViper en mémoire et l'exécute. Plusieurs
versions de Fooder se font passer pour le jeu Snake, d'où le nom MuddyViper.
Une autre caractéristique de Fooder est l’utilisation fréquente d'une fonction
de délai personnalisée qui implémente la logique de base du jeu Snake, combinée
à des appels à l'API « Sleep ». Ces fonctions retardent l'exécution
pour dissimuler les comportements malveillants aux systèmes d'analyse
automatisés. De plus, les développeurs de MuddyWater ont adopté CNG, l'API
cryptographique Windows de nouvelle génération, chose unique pour des groupes
liés à l'Iran et assez atypique dans le paysage actuel des menaces. Durant
cette campagne, les opérateurs ont délibérément évité les sessions interactives
directes au clavier. Même si certains éléments restent bruyants et facilement
détectables, souvent le cas pour MuddyWater, cette campagne illustre une
évolution technique : une précision accrue, un ciblage stratégique et une
série d'outils plus avancée.
L'ensemble
d'outils post-compromission comprend plusieurs voleurs d'identifiants :
CE-Notes, qui cible les navigateurs basés Chromium ; LP-Notes, qui prépare
et vérifie les identifiants volés ; Blub, qui vole les données de
connexion des navigateurs Chrome, Edge, Firefox et Opera.
En 2017,
MuddyWater a été présenté au public par Unit 42, dont la description de
l'activité du groupe concorde avec le profilage d'ESET : centrage sur le
cyberespionnage, utilisation de documents malveillants comme pièces jointes
conçues pour inciter les utilisateurs à activer les macros et à contourner les
contrôles de sécurité, et ciblant principalement des entités situées au
Moyen-Orient.
Parmi
les activités passées importantes, il y a l’Opération Quicksand (2020), une
campagne de cyberespionnage visant des entités gouvernementales israéliennes et
des organisations de télécommunications, illustrant l’évolution des tactiques
de phishing de base vers des opérations plus avancées et à plusieurs étapes ;
une campagne visant des groupes et organisations politiques en Turquie. Ceci
démontre l’orientation géopolitique du groupe, sa capacité à adapter les
tactiques d’ingénierie sociale aux contextes locaux et sa dépendance aux
maliciels modulaires ainsi qu’à une infrastructure C&C flexible.
ESET
a documenté plusieurs campagnes attribuées à MuddyWater, soulignant l'évolution
des outils et des priorités opérationnelles du groupe. En mars et avril 2023,
MuddyWater a ciblé une victime non identifiée en Arabie saoudite. Le groupe a
mené une campagne en janvier et février 2025 caractérisée par une grande
similitude opérationnelle avec Lyceum (un sous-groupe d'OilRig). Cela fait
penser que MuddyWater pourrait être un intermédiaire pour d'autres groupes liés
à l'Iran.
Pour
une analyse plus détaillée de la récente campagne MuddysWater, lisez le nouveau
blog d’ESET Research “MuddyWater: Snakes by the riverbank”
sur www.welivesecuyruty.com/ Suivez aussi
ESET Rerserach sur Twitter (today known as X), BlueSky et Mastodon
pour les toutes dernières infos.
