El grupo de Estado-nación iraní conocido como FangosoAgua se ha atribuido a una nueva campaña que aprovechó una cuenta de correo electrónico comprometida para distribuir una puerta trasera llamada Phoenix a varias organizaciones en la región de Medio Oriente y África del Norte (MENA), incluidas más de 100 entidades gubernamentales.
El objetivo final de la campaña es infiltrarse en objetivos de alto valor y facilitar la recopilación de inteligencia, afirmó la empresa de ciberseguridad de Singapur Group-IB en un informe técnico publicado hoy.
Más de las tres cuartas partes de los objetivos de la campaña incluyen embajadas, misiones diplomáticas, ministerios de relaciones exteriores y consulados, seguidos de organizaciones internacionales y empresas de telecomunicaciones.
«MuddyWater accedió al buzón comprometido a través de NordVPN (un servicio legítimo del que abusó el actor de la amenaza) y lo utilizó para enviar correos electrónicos de phishing que parecían ser correspondencia auténtica», dijeron los investigadores de seguridad Mahmoud Zohdy y Mansour Alhmoud.
«Al explotar la confianza y la autoridad asociadas con dichas comunicaciones, la campaña aumentó significativamente sus posibilidades de engañar a los destinatarios para que abrieran archivos adjuntos maliciosos».
La cadena de ataque esencialmente implica que el actor de la amenaza distribuya documentos de Microsoft Word armados que, cuando se abren, solicitan a los destinatarios del correo electrónico que habiliten macros para poder ver el contenido. Una vez que el usuario desprevenido habilita la función, el documento procede a ejecutar código malicioso de Visual Basic para Aplicaciones (VBA), lo que resulta en la implementación de la versión 4 de la puerta trasera Phoenix.
La puerta trasera se inicia mediante un cargador llamado FakeUpdate que el cuentagotas VBA decodifica y escribe en el disco. El cargador contiene la carga útil Phoenix cifrada con el Estándar de cifrado avanzado (AES).
Se considera que MuddyWater, también llamada Boggy Serpens, Cobalt Ulster, Earth Vetala, Mango Sandstorm (anteriormente Mercury), Seedworm, Static Kitten, TA450, TEMP.Zagros y Yellow Nix, está afiliada al Ministerio de Inteligencia y Seguridad de Irán (MOIS). Se sabe que está activo desde al menos 2017.
El uso de Phoenix por parte del actor de amenazas fue documentado por primera vez por Group-IB el mes pasado, describiéndolo como una versión ligera de BugSleep, un implante basado en Python vinculado a MuddyWater. Se han detectado dos variantes diferentes de Phoenix (Versión 3 y Versión 4) en la naturaleza.
El proveedor de ciberseguridad dijo que también se encontró que el servidor de comando y control (C2) del atacante («159.198.36(.)115») aloja utilidades de administración y monitoreo remoto (RMM) y un ladrón de credenciales de navegador web personalizado dirigido a Brave, Google Chrome, Microsoft Edge y Opera, lo que sugiere su probable uso en la operación. Vale la pena señalar que MuddyWater tiene un historial de distribución de software de acceso remoto a través de campañas de phishing a lo largo de los años.
«Al implementar variantes de malware actualizadas, como la puerta trasera Phoenix v4, el inyector FakeUpdate y herramientas personalizadas de robo de credenciales junto con utilidades RMM legítimas como PDQ y Action1, MuddyWater demostró una capacidad mejorada para integrar código personalizado con herramientas comerciales para mejorar el sigilo y la persistencia», dijeron los investigadores.