El grupo de hackers iraní conocido como FangosoAgua se ha vinculado a una nueva campaña que afectará al menos a nueve organizaciones en nueve países de cuatro continentes en el primer trimestre de 2026.
La actividad se centró en la fabricación industrial y electrónica, la educación y los organismos del sector público, los servicios financieros y los servicios profesionales, según el equipo Threat Hunter de Symantec y Carbon Black. Entre las víctimas se encuentra un importante fabricante de productos electrónicos de Corea del Sur, cuyos atacantes pasaron una semana dentro de su red en febrero de 2026.
También fueron señalados como parte del extenso esfuerzo de espionaje un aeropuerto internacional en el Medio Oriente, fabricantes industriales del sudeste asiático y un proveedor de servicios financieros latinoamericano.
«Los atacantes se basaron en gran medida en la carga lateral de DLL utilizando archivos binarios Fortemedia (fmapp.exe) y SentinelOne (sentinelmemoryscanner.exe) legítimamente firmados para ejecutar archivos DLL maliciosos mientras se hacían pasar por software benigno», dijeron los equipos de ciberseguridad de Broadcom.
El uso de «fmapp.exe» para descargar «fmapp.dll» fue documentado previamente por Group-IB en relación con otra campaña de MuddyWater con nombre en código Operación Olalampo. Según Huntress, la DLL contiene código para conectarse a una dirección IP controlada por el atacante («157.20.182(.)49»).
Por otro lado, el abuso de «sentinelmemoryscanner.exe», un binario asociado con un producto de seguridad, se considera una elección deliberada, ya que puede eludir la detección basada en firmas. Está diseñado para descargar una DLL maliciosa llamada «sentinelagentcore.dll».
Ambas DLL incorporan una herramienta de código abierto llamada ChromElevator para desviar contraseñas, cookies y datos de tarjetas de pago de navegadores basados en Chromium, evitando de manera efectiva las protecciones de cifrado vinculado a aplicaciones (ABE).
Un aspecto destacable de los ataques es el uso de scripts Node.js para ejecutar código PowerShell responsable de llevar a cabo operaciones de descubrimiento y recopilación de información. En al menos un caso, se descubrió que los atacantes almacenaban los datos robados en sendit(.)sh, un servicio público de transferencia de archivos.
«Se utilizó una cadena de implantes basada en node.exe para eliminar scripts de PowerShell que realizaban reconocimiento, captura de pantalla, robo de colmena SAM, escalada de privilegios y tunelización de proxy inverso SOCKS5», dijeron Symantec y Carbon Black.
También se entregan los dos pares de carga lateral de DLL antes mencionados para proporcionar a los atacantes un túnel encubierto para retransmitir el tráfico y lanzar CromoElevador. Los ataques también se caracterizan por esfuerzos por deshacerse de credenciales que les permitirían moverse lateralmente a través de las redes.
En la intrusión dirigida al fabricante de productos electrónicos de Corea del Sur, se cree que MuddyWater llevó a cabo repetidamente reconocimientos basados en PowerShell, así como también volvió a ejecutar los dos archivos binarios para garantizar que conserva el acceso al host comprometido. Se desconoce el vector de acceso inicial utilizado para violar la organización.
«La cadencia es nuevamente consistente con la actividad impulsada por el implante en lugar de la presencia continua del operador», dijeron los investigadores. «La historia de su campaña muestra un claro movimiento hacia operaciones más silenciosas y disciplinadas. Ninguna de estas técnicas es novedosa individualmente, pero en combinación proporcionan más evidencia de un avance significativo en la higiene operativa del Seedworm que conocíamos hace dos o tres años».
El acontecimiento se produce cuando el Consejo Europeo impuso sanciones contra la empresa iraní Emennet Pasargad por piratear un servicio de SMS sueco, acceder al contenido de una base de datos de suscriptores franceses y ponerlo a la venta, y por difundir desinformación a través de vallas publicitarias comprometidas durante los Juegos Olímpicos de París 2024.
La compañía, según el Departamento de Estado de EE. UU., se llama Shahid Shushtari y está afiliada al Comando Ciberelectrónico del Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC-CEC). Se rastrea bajo los apodos Cobalt Obelisk, Cotton Sandstorm, Haywire Kitten (anteriormente ChaoticOrchestra), Marnanbridge y UNC5866.
«Los miembros de Shahid Shushtari han causado daños financieros significativos y perturbaciones a empresas y agencias gubernamentales estadounidenses a través de operaciones coordinadas de información cibernética y habilitada por cibernética», señaló el Departamento de Estado en diciembre de 2025. «Estas campañas se han dirigido a múltiples sectores críticos de infraestructura, incluidos los de noticias, transporte marítimo, viajes, energía, finanzas y telecomunicaciones en Estados Unidos, Europa y Medio Oriente».
Los piratas informáticos respaldados por Irán también han estado vinculados a una campaña de exfiltración dirigida a organizaciones en EE. UU., Israel, Arabia Saudita y Turquía entre finales de marzo y principios de abril de 2026, y al menos dos víctimas estadounidenses también fueron objeto de operaciones destructivas, como la eliminación de particiones y copias de seguridad de datos.
Aunque estos incidentes fueron reivindicados por una persona pro iraní llamada Ababil de Minab, un nuevo análisis de Gambit Security ha vinculado la infraestructura de la campaña con el Ministerio de Inteligencia y Seguridad de Irán (MOIS).
Otros objetivos incluyen una organización israelí en el sector de los medios de comunicación, una institución de educación superior israelí, una correduría de seguros turca y varios sitios web adicionales en los sectores de restaurantes, cultura, servicios digitales y noticias.
No se ha observado ninguna actividad destructiva contra estas víctimas. En estos casos, se ha descubierto que el adversario emplea una herramienta de exfiltración y recopilación de archivos C++ personalizada cuyo nombre en código interno es FileFiend.
«El binario podría enumerar unidades locales y recursos compartidos SMB, recorrer el sistema de archivos y enviar archivos a un servidor C2 (comando y control) codificado», dijeron los investigadores de Gambit Security Eyal Sela y Nir Varon en un informe publicado hoy.
Alternativamente, los datos de interés se comprimen en archivos RAR en un host dentro del entorno de la víctima y se cargan en el sitio web público de la organización en la raíz web, desde donde se extraen utilizando el acelerador de descarga de línea de comandos Axel y se canalizan a través de cadenas proxy.