Entidades israelenses de diversos setores — incluindo academia, engenharia, governo local, manufatura, tecnologia, transporte e serviços públicos — estão sendo alvo de uma nova onda de ataques conduzidos por atores estatais iranianos.
Esses ataques utilizam uma backdoor inédita, batizada de MuddyViper.
A empresa de segurança ESET atribui a atividade ao grupo hacker conhecido como MuddyWater (também chamado Mango Sandstorm ou TA450), considerado afiliado ao Ministério da Inteligência e Segurança do Irã (MOIS).
Além de Israel, um dos alvos identificados foi uma empresa de tecnologia localizada no Egito.
O grupo MuddyWater surgiu em novembro de 2017, quando a Palo Alto Networks Unit 42 reportou ataques direcionados no Oriente Médio entre fevereiro e outubro daquele ano, utilizando uma backdoor customizada chamada POWERSTATS.
O grupo também é conhecido por ataques destrutivos a organizações israelenses, empregando uma variante do ransomware Thanos chamada PowGoop, dentro da campanha Operation Quicksand.
Segundo dados do Israel National Cyber Directorate (INCD), os ataques do MuddyWater têm como foco autoridades locais, aviação civil, turismo, saúde, telecomunicações, TI e pequenas e médias empresas israelenses.
Os vetores típicos envolvem spear-phishing e exploração de vulnerabilidades conhecidas em infraestruturas de VPN para infiltrar as redes.
Em seguida, ferramentas legítimas de gerenciamento remoto são usadas para avançar na intrusão — uma técnica comum no arsenal do grupo.
Desde maio de 2024, as campanhas de phishing passaram a distribuir uma backdoor chamada BugSleep (também conhecida como MuddyRot).
Entre outras ferramentas usadas pelo grupo estão Blackout, um Remote Administration Tool (RAT); AnchorRat, com funções de upload de arquivos e execução de comandos; CannonRat, capaz de receber ordens e enviar dados; Neshta, um vírus infectador de arquivos; e o framework de comando e controle (C2) Sad C2, que entrega o loader TreasureBox.
Este loader instala, por sua vez, o RAT BlackPearl para controle remoto e um binário chamado Pheonix, que baixa payloads do servidor C2.
Focado em ciberespionagem, o MuddyWater possui histórico de ataques a múltiplos setores, especialmente governos e infraestrutura crítica, combinando malware customizado e ferramentas públicas.
A sequência mais recente de ataques começa com e-mails de phishing contendo PDFs que direcionam para ferramentas legítimas de desktop remoto, como Atera, Level, PDQ e SimpleHelp.
Um ponto destacado nesta campanha é o uso do loader Fooder, criado para descriptografar e executar a backdoor MuddyViper, programada em C/C++.
Além disso, o Fooder pode implantar proxies de túnel reverso go-socks5 e a ferramenta HackBrowserData, que coleta dados de navegadores populares, exceto Safari no macOS da Apple.
Segundo a ESET, “MuddyViper permite que os invasores coletem informações do sistema, executem arquivos e comandos de shell, transfiram arquivos e exfiltriem credenciais de login do Windows e dados de navegador.” No total, essa backdoor suporta 20 comandos que possibilitam acesso furtivo e controle dos sistemas comprometidos.
Variantes do Fooder se disfarçam até como o clássico jogo Snake, utilizando execução retardada para evitar detecção.
O uso do Fooder pelo MuddyWater foi inicialmente identificado pela Group-IB em setembro de 2025.
Outras ferramentas empregadas na campanha incluem:
- VAXOne: backdoor que imita serviços legítimos como Veeam, AnyDesk, Xerox e o atualizador do OneDrive.
- CE-Notes: stealer de dados de navegador que tenta contornar a criptografia do Google Chrome, roubando a chave armazenada no arquivo Local State de browsers baseados em Chromium, semelhante ao projeto open-source ChromElevator.
- Blub: stealer de dados de navegador escrito em C/C++ que atua em Google Chrome, Microsoft Edge, Mozilla Firefox e Opera.
- LP-Notes: ladrão de credenciais em C/C++ que engana usuários exibindo um falso diálogo de segurança do Windows, para capturar usernames e senhas.
Para a ESET, “essa campanha indica uma evolução na maturidade operacional do MuddyWater.
O emprego de componentes inéditos — como o loader Fooder e a backdoor MuddyViper — demonstra o esforço para aprimorar furtividade, persistência e capacidades de coleta de credenciais.”
**Vazamento do Charming Kitten**
A divulgação desse novo conjunto de ataques ocorre poucas semanas após a Israel National Digital Agency (INDA) atribuir ao grupo iraniano APT42 ataques de espionagem batizados como SpearSpecter, contra indivíduos e organizações de interesse estratégico.
APT42 tem conexões com outro grupo conhecido como APT35 (também chamado Charming Kitten ou Fresh Feline).
Além disso, um grande vazamento de documentos internos expôs operações cibernéticas do grupo, que, conforme o ativista britânico-iraniano Nariman Gharib, alimentam um sistema usado para localizar e perseguir pessoas consideradas ameaças ao Irã.
Esse sistema está vinculado ao Corpo da Guarda Revolucionária Islâmica (IRGC), especificamente à sua divisão de contrainteligência conhecida como Unidade 1500.
Segundo a FalconFeeds, “a história parece um roteiro de terror escrito em PowerShell e persa”, e o vazamento revela “um mapa completo da unidade cibernética 1500 do IRGC”.
Os documentos foram publicados em setembro e outubro de 2025 no GitHub por um coletivo anônimo chamado KittenBusters, cujas motivações permanecem desconhecidas.
Entre os dados revelados, destaca-se Abbas Rahrovi, também conhecido como Abbas Hosseini, apontado como líder da operação.
O grupo supostamente opera por meio de uma rede de empresas de fachada.
Uma das revelações mais impactantes foi o código-fonte completo do malware BellaCiao, identificado pela Bitdefender em abril de 2023, usado em ataques contra empresas nos EUA, Europa, Oriente Médio e Índia.
Gharib afirma que a backdoor foi desenvolvida por uma equipe baseada na base Shuhada, em Teerã.
Para a DomainTools, “os materiais vazados mostram uma arquitetura de comando estruturada, não um coletivo hacker descentralizado, com hierarquias claras, controle de desempenho e disciplina burocrática.” O vazamento revela “um aparato de ciberinteligência burocratizado, braço institucional do Estado iraniano com fluxos de trabalho bem definidos e métricas de performance.
Documentos indicam um ecossistema autossuficiente, em que funcionários registram atividades diárias, medem o sucesso de phishing e monitoram horas de reconhecimento, enquanto equipes técnicas testam e criam exploits contra vulnerabilidades atuais.”
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...