Các thực thể của Israel thuộc nhiều lĩnh vực như học thuật, kỹ thuật, chính quyền địa phương, sản xuất, công nghệ, giao thông vận tải và tiện ích đã trở thành mục tiêu của một loạt cuộc tấn công mới do các tác nhân nhà nước của Iran thực hiện, phát tán một backdoor chưa từng được ghi nhận trước đây có tên MuddyViper.
Hoạt động này đã được ESET quy cho một nhóm tin tặc được biết đến với tên MuddyWater (còn gọi là Mango Sandstorm hoặc TA450), một nhóm được đánh giá là có liên kết với Bộ Tình báo và An ninh Iran (MOIS). Các cuộc tấn công cũng nhắm vào một công ty công nghệ có trụ sở tại Ai Cập.
Nhóm tin tặc này lần đầu tiên được biết đến vào tháng 11 năm 2017, khi Palo Alto Networks Unit 42 chi tiết hóa các cuộc tấn công có mục tiêu vào Trung Đông từ tháng 2 đến tháng 10 cùng năm, sử dụng một backdoor tùy chỉnh được đặt tên là POWERSTATS. Nó cũng nổi tiếng với các cuộc tấn công phá hoại vào các tổ chức của Israel bằng cách sử dụng biến thể ransomware Thanos có tên PowGoop như một phần của chiến dịch được gọi là Operation Quicksand.
Theo dữ liệu từ Cục An ninh Mạng Quốc gia Israel (INCD), các cuộc tấn công của MuddyWater đã nhắm vào chính quyền địa phương, hàng không dân dụng, du lịch, chăm sóc sức khỏe, viễn thông, công nghệ thông tin, và các doanh nghiệp vừa và nhỏ (SMEs) của nước này.
Các chuỗi tấn công điển hình bao gồm các kỹ thuật như spear-phishing và khai thác các lỗ hổng đã biết trong cơ sở hạ tầng VPN để xâm nhập mạng và triển khai các công cụ quản lý từ xa hợp pháp – một phương pháp được MuddyWater ưa chuộng từ lâu. Tuy nhiên, ít nhất từ tháng 5 năm 2024, các chiến dịch phishing đã phát tán một backdoor được gọi là BugSleep (còn gọi là MuddyRot).
Một số công cụ đáng chú ý khác trong kho vũ khí của nhóm bao gồm Blackout, một remote administration tool (RAT); AnchorRat, một RAT cung cấp các tính năng tải lên tệp và thực thi lệnh; CannonRat, một RAT có thể nhận lệnh và truyền thông tin; Neshta, một virus lây nhiễm tệp nổi tiếng; và Sad C2, một command-and-control (C2) framework cung cấp một loader có tên TreasureBox, triển khai BlackPearl RAT để điều khiển từ xa, và một binary được biết đến với tên Pheonix để tải payload từ máy chủ C2.
Nhóm gián điệp mạng này có lịch sử tấn công nhiều ngành công nghiệp khác nhau, đặc biệt là các chính phủ và cơ sở hạ tầng quan trọng, sử dụng hỗn hợp các malware tùy chỉnh và các công cụ có sẵn công khai. Chuỗi tấn công mới nhất bắt đầu, giống như trong các chiến dịch trước đây, bằng các email phishing chứa tệp đính kèm PDF liên kết đến các công cụ remote desktop hợp pháp như Atera, Level, PDQ, và SimpleHelp.
Chiến dịch này được đánh dấu bằng việc sử dụng một loader có tên Fooder được thiết kế để giải mã và thực thi backdoor MuddyViper dựa trên C/C++. Ngoài ra, loader C/C++ này cũng được phát hiện triển khai các proxy go-socks5 reverse tunneling và một tiện ích mã nguồn mở có tên HackBrowserData để thu thập dữ liệu trình duyệt từ một số trình duyệt, ngoại trừ Safari trên Apple macOS.
"MuddyViper cho phép những kẻ tấn công thu thập thông tin hệ thống, thực thi tệp và các lệnh shell, truyền tệp, và đánh cắp thông tin đăng nhập Windows cũng như dữ liệu trình duyệt," công ty an ninh mạng Slovakia cho biết trong một báo cáo chia sẻ với The Hacker News.
Tổng cộng, backdoor này hỗ trợ 20 lệnh giúp truy cập và kiểm soát bí mật các hệ thống bị nhiễm. Một số biến thể của Fooder mạo danh trò chơi Snake cổ điển, đồng thời kết hợp thực thi trì hoãn để né tránh phát hiện. Việc MuddyWater sử dụng Fooder lần đầu tiên được nhấn mạnh bởi Group-IB vào tháng 9 năm 2025.
Các công cụ sau đây cũng được sử dụng trong các cuộc tấn công -
- VAXOne, một backdoor mạo danh Veeam, AnyDesk, Xerox, và dịch vụ cập nhật OneDrive
- CE-Notes, một browser-data stealer cố gắng vượt qua app-bound encryption của Google Chrome bằng cách đánh cắp khóa mã hóa được lưu trữ trong tệp Local State của các trình duyệt dựa trên Chromium (có điểm tương đồng với dự án mã nguồn mở ChromElevator)
- Blub, một browser-data stealer C/C++ thu thập dữ liệu đăng nhập người dùng từ Google Chrome, Microsoft Edge, Mozilla Firefox, và Opera
- LP-Notes, một credential stealer được viết bằng C/C++ lừa người dùng nhập tên người dùng và mật khẩu hệ thống bằng cách hiển thị một hộp thoại Windows Security giả mạo
"Chiến dịch này cho thấy sự trưởng thành trong hoạt động của MuddyWater," ESET cho biết. "Việc triển khai các thành phần chưa từng được ghi nhận trước đây – như loader Fooder và backdoor MuddyViper – cho thấy nỗ lực tăng cường khả năng tàng hình, duy trì quyền truy cập và thu thập thông tin đăng nhập."
Thông tin rò rỉ của Charming Kitten
Việc tiết lộ này diễn ra vài tuần sau khi Cơ quan Kỹ thuật số Quốc gia Israel (INDA) quy cho các tác nhân đe dọa Iran được biết đến với tên APT42 các cuộc tấn công nhắm vào các cá nhân và tổ chức được quan tâm trong một chiến dịch tập trung vào gián điệp có tên SpearSpecter. APT42 được cho là có những điểm chồng chéo với một nhóm tin tặc khác được theo dõi dưới tên APT35 (còn gọi là Charming Kitten và Fresh Feline).
Nó cũng diễn ra sau một vụ rò rỉ lớn các tài liệu nội bộ đã phơi bày các hoạt động mạng của nhóm tin tặc này, mà theo nhà hoạt động người Anh gốc Iran Nariman Gharib, cung cấp thông tin vào một hệ thống được thiết kế để định vị và tiêu diệt các cá nhân bị coi là mối đe dọa đối với Iran. Nó có liên quan đến Lực lượng Vệ binh Cách mạng Hồi giáo (IRGC), cụ thể là bộ phận phản gián của họ được gọi là Unit 1500.
"Câu chuyện giống như một kịch bản kinh dị được viết bằng PowerShell và tiếng Ba Tư," FalconFeeds cho biết, nói thêm rằng vụ rò rỉ tiết lộ "một bản đồ hoàn chỉnh về sư đoàn mạng Unit 1500 của IRGC Iran."
Dữ liệu rò rỉ được đăng lên GitHub vào tháng 9 và tháng 10 năm 2025 bởi một tập thể ẩn danh có tên KittenBusters, với động cơ vẫn chưa được biết. Đáng chú ý, kho dữ liệu này xác định Abbas Rahrovi, còn được biết đến là Abbas Hosseini, là lãnh đạo của hoạt động, và cáo buộc rằng đơn vị tin tặc này được quản lý thông qua một mạng lưới các công ty bình phong.
Có lẽ một trong những tiết lộ quan trọng khác là việc công bố toàn bộ mã nguồn liên quan đến BellaCiao, vốn được Bitdefender gắn cờ vào tháng 4 năm 2023 là được sử dụng trong các cuộc tấn công nhắm vào các công ty ở Mỹ, Châu Âu, Trung Đông và Ấn Độ. Theo Gharib, backdoor này là sản phẩm của một nhóm hoạt động từ căn cứ Shuhada ở Tehran.
"Các tài liệu bị rò rỉ tiết lộ một kiến trúc lệnh có cấu trúc rõ ràng chứ không phải là một tập thể tin tặc phi tập trung, một tổ chức với các hệ thống phân cấp, giám sát hiệu suất và kỷ luật hành chính rõ ràng," DomainTools cho biết.
"Vụ rò rỉ APT35 phơi bày một bộ máy tình báo mạng được hành chính hóa, một cánh tay thể chế của nhà nước Iran với các hệ thống phân cấp, quy trình làm việc và các chỉ số hiệu suất xác định. Các tài liệu tiết lộ một hệ sinh thái tự duy trì nơi các thư ký ghi lại hoạt động hàng ngày, định lượng tỷ lệ thành công của phishing và theo dõi giờ trinh sát. Trong khi đó, nhân viên kỹ thuật kiểm tra và vũ khí hóa các exploit chống lại các lỗ hổng hiện tại."
