El actor-estado-nación iraní conocido como FangosoAgua se ha vinculado a una nueva campaña de phishing dirigida a dos entidades israelíes para, en última instancia, implementar una herramienta legítima de administración remota de N-able llamada Agente de monitoreo avanzado.
La empresa de ciberseguridad Deep Instinct, que reveló detalles de los ataques, dicho la campaña «muestra TTP actualizados para la actividad de MuddyWater informada anteriormente», que, en el pasado, utilizó cadenas de ataque similares para distribuir otras herramientas de acceso remoto como ScreenConnect, RemoteUtilities, Syncro y SimpleHelp.
Si bien el último desarrollo marca la primera vez que se observa a MuddyWater utilizando el software de monitoreo remoto de N-able, también subraya el hecho de que el modus operandi, prácticamente sin cambios, continúa generando cierto nivel de éxito para el actor de amenazas.
Los hallazgos también han sido confirmados por separado por la empresa de ciberseguridad Group-IB en un correo compartido en X (anteriormente Twitter).
El grupo patrocinado por el estado es un equipo de ciberespionaje que se dice que es un elemento subordinado dentro del Ministerio de Inteligencia y Seguridad (MOIS) de Irán, uniéndose a otros grupos afiliados a MOIS como OilRig, Lyceum, Agrius y Scarred Manticore. Ha estado activo desde al menos 2017.
Las secuencias de ataques anteriores han implicado el envío de correos electrónicos de phishing con enlaces directos, así como archivos adjuntos HTML, PDF y RTF que contienen enlaces a archivos alojados en varias plataformas de intercambio de archivos que, en última instancia, eliminan una de las herramientas de administración remota antes mencionadas.
Las últimas tácticas y herramientas representan en cierto modo una continuación, y en otros una evolución, para el grupo conocido como Mango Sandstorm y Static Kitten.
Lo que es diferente esta vez es el uso de un nuevo servicio para compartir archivos llamado Storyblok para iniciar un vector de infección de múltiples etapas.
«Contiene archivos ocultos, un archivo LNK que inicia la infección y un archivo ejecutable diseñado para mostrar un documento señuelo mientras se ejecuta Advanced Monitoring Agent, una herramienta de administración remota», dijo el investigador de seguridad Simon Kenin en un análisis del miércoles.
«Después de que la víctima haya sido infectada, el operador de MuddyWater se conectará al host infectado utilizando la herramienta de administración remota legítima y comenzará a realizar un reconocimiento del objetivo».
El documento señuelo que se muestra a la víctima es un memorando oficial de la Comisión de Servicio Civil de Israel, que puede ser descargado públicamente desde su sitio web oficial.
En una señal más de la rápida mejora de las capacidades cibernéticas maliciosas de Irán, Deep Instinct dijo que también detectó a los actores de MuddyWater aprovechando un nuevo marco de comando y control (C2) llamado MuddyC2Go, un sucesor de MuddyC3 y PhonyC2.