El equipo de investigación de ESET ha identificado una nueva y sofisticada campaña del grupo de ciberespionaje MuddyWater (también conocido como Mango Sandstorm). El ataque se dirige principalmente a infraestructuras críticas en Israel y Egipto, utilizando un método de infiltración tan nostálgico como peligroso: el clásico juego Snake.
MuddyViper: El veneno silencioso
El objetivo final de este ataque es desplegar un backdoor denominado MuddyViper. Una vez instalado, este malware permite a los atacantes:
- Recopilar información sensible del sistema operativo.
- Ejecutar archivos y comandos de shell de forma remota.
- Extraer credenciales de usuario y transferir archivos hacia servidores externos.
La trampa del “Snake”
Para evadir las defensas, los atacantes utilizan un cargador personalizado llamado Fooder. Lo innovador de esta herramienta es su disfraz: se presenta como un ejecutable del juego Snake. No solo el icono y el nombre son engañosos; la lógica interna del programa incluye retrasos inspirados en la mecánica del juego original para dificultar el análisis dinámico y engañar a los sistemas de detección automatizados.
Evolución de MuddyWater
MuddyWater es un grupo activo desde 2017 con vínculos reportados al Ministerio de Inteligencia y Seguridad Nacional de Irán. Ha sido responsable de ataques persistentes contra gobiernos y sectores estratégicos en todo el mundo.
“Esta campaña refleja una madurez operativa preocupante. El uso de cargadores disfrazados y backdoors previamente no documentados indica un esfuerzo deliberado por mejorar sus capacidades de evasión y persistencia en redes vulnerables”, advierte Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Acceso inicial y Spearphishing
El vector de entrada habitual en estos ataques sigue siendo el spearphishing. Los atacantes envían correos electrónicos dirigidos con archivos PDF que contienen enlaces a instaladores de software de administración remota legítimos, los cuales luego son utilizados para desplegar las herramientas personalizadas arriba mencionadas.
La recomendación para organizaciones críticas es reforzar el monitoreo de herramientas de administración remota no autorizadas y educar al personal sobre la descarga de ejecutables, incluso si parecen juegos inofensivos.
Para seguir aprendiendo
Podés encontrar el análisis técnico completo sobre MuddyViper en el portal de investigaciones WeLiveSecurity.