- ESET a détecté une nouvelle campagne MuddyWater, un acteur de cyberespionnage aligné sur l’Iran, ciblant des infrastructures critiques en Israël, avec une victime confirmée en Égypte.
- Pour installer la nouvelle backdoor MuddyViper, le groupe a utilisé un loader plus évolué, Fooder, qui injecte l’outil directement en mémoire via chargement réfléchissant avant exécution.
- ESET publie une analyse technique détaillée des outils et méthodes employés dans cette opération.
Tunisie-Tribune (ESET) – Les chercheurs d’ESET ont détecté une nouvelle campagne menée par MuddyWater, visant principalement des organisations israéliennes, avec une victime également confirmée en Égypte. En Israël, les cibles identifiées appartiennent aux secteurs technologique, ingénierie, industrie/manufacture, administrations locales et éducation. MuddyWater, également connu sous les noms Mango Sandstorm ou TA450, est un groupe de cyberespionnage aligné sur l’Iran. Il est réputé pour ses attaques persistantes contre les administrations et les infrastructures critiques. Il utilise des malwares sur mesure et des outils publics, et entretient des liens avec le ministère iranien du Renseignement et de la Sécurité nationale.
Dans cette opération, les attaquants ont introduit un arsenal inédit conçu pour renforcer leur furtivité et leur persistance. Parmi ces outils figure MuddyViper, une backdoor capable de collecter des informations système, exécuter des commandes, transférer des fichiers et exfiltrer des identifiants Windows et des données de navigateur. La campagne inclut également des voleurs d’identifiants et Fooder, un chargeur déguisé en jeu Snake.
L’accès initial repose sur des e-mails de spearphishing contenant des PDF piégés. Ces documents redirigent vers des installateurs de solutions de surveillance et de gestion à distance (RMM) hébergés sur des plateformes de partage comme OneHub, Egnyte ou Mega. Les liens permettent de télécharger des outils légitimes tels qu’Atera, Level, PDQ et SimpleHelp. Les opérateurs déploient aussi la backdoor VAX One, qui imite des logiciels connus comme Veeam, AnyDesk, Xerox ou le service OneDrive Update.
Bien que MuddyWater conserve des méthodes classiques, cette campagne introduit des techniques sophistiquées. Fooder charge MuddyViper directement en mémoire évitant l’écriture sur le disque. Plusieurs variantes de Fooder se font passer pour le jeu Snake, d’où le nom MuddyViper. Autre particularité, une fonction de délai inspirée de la logique du jeu Snake, combinée à des appels API espacés dans le temps, pour ralentir l’exécution et contourner les systèmes d’analyse automatisée. Les développeurs malveillants exploitent également CNG, l’API cryptographique Windows de nouvelle génération. Enfin, les opérateurs évitent les sessions interactives manuelles, réduisant les traces visibles. Le résultat obtenu est une campagne plus précise, mieux ciblée et dotée d’outils avancés.
Après compromission, l’arsenal inclut plusieurs infostealers dédiés, tels que CE-Notes, destiné aux navigateurs basés sur Chromium ; LP-Notes, utilisé pour préparer et valider les identifiants volés ; et Blub, capable de siphonner les données de connexion depuis Chrome, Edge, Firefox et Opera.
MuddyWater a été publiquement attribué pour la première fois en 2017 par Unit 42. Leur analyse rejoint celle d’ESET, celle d’un groupe centré sur le cyberespionnage, utilisant des documents piégés en pièce jointe pour pousser les victimes à activer des macros ou contourner les contrôles de sécurité et ciblant principalement des organisations du Moyen-Orient. Parmi les opérations marquantes du groupe :
- Quicksand (2020) : espionnage contre des entités gouvernementales israéliennes et des opérateurs télécoms, illustrant son passage de tactiques basiques à des campagnes multi-étapes.
- Une campagne contre des organisations politiques en Turquie, démontrant son adaptation aux contextes locaux et son recours à des malwares modulaires et à une infrastructure C&C flexible.
ESET a attribué à MuddyWater plusieurs campagnes qui mettent en évidence l’évolution de ses outils et de sa posture opérationnelle. En mars-avril 2023, le groupe a ciblé une victime non identifiée en Arabie Saoudite. Plus récemment, une campagne menée en janvier-février 2025 a révélé un chevauchement opérationnel avec Lyceum, un sous-groupe d’OilRig. Cette coordination laisse penser que MuddyWater pourrait parfois jouer le rôle de fournisseur d’accès initial pour d’autres groupes alignés sur l’Iran.
Retrouvez l’analyse complète dans l’article ESET Research »MuddyWater : Serpents sur la rive de la rivière” sur WeLiveSecurity.com.
Aperçu du chargement de MuddyViper ou d’autres charges utiles supportées par Fooder
À propos d’ESET
ESET® entreprise européenne de cybersécurité reconnue mondialement, se positionne comme un acteur majeur dans la protection numérique grâce à une approche technologique innovante et complète. Fondée en Europe et disposant de bureaux internationaux, ESET combine la puissance de l’intelligence artificielle et l’expertise humaine pour développer des solutions de sécurité avancées, capables de prévenir et contrer efficacement les cybermenaces émergentes, connues et inconnues. Ses technologies, entièrement conçues dans l’UE, couvrent la protection des terminaux, du cloud et des systèmes mobiles, et se distinguent par leur robustesse, leur efficacité et leur facilité d’utilisation, offrant ainsi une défense en temps réel 24/7 aux entreprises, infrastructures critiques et utilisateurs individuels. Grâce à ses centres de recherche et développement et son réseau mondial de partenaires, ESET propose des solutions de cybersécurité intégrant un chiffrement ultra-sécurisé, une authentification multifactorielle et des renseignements approfondis sur les menaces, s’adaptant constamment à l’évolution rapide du paysage numérique.
