Israëlische entiteiten uit de academische wereld, techniek, lokale overheid, productie, technologie, transport en nutssectoren zijn het doelwit geworden van een nieuwe reeks aanvallen ondernomen door Iraanse natiestaatactoren die een voorheen ongedocumenteerde achterdeur hebben gecreëerd, genaamd MuddyViper.
De activiteit is door ESET toegeschreven aan een hackgroep die bekend staat als Modderig Water (ook bekend als Mango Sandstorm of TA450), een cluster waarvan wordt aangenomen dat het verbonden is met het Iraanse Ministerie van Inlichtingen en Veiligheid (MOIS). Bij de aanvallen werd ook één technologiebedrijf uit Egypte aangevallen.
De hackgroep kwam voor het eerst aan het licht in november 2017, toen Palo Alto Networks Unit 42 tussen februari en oktober van dat jaar gerichte aanvallen op het Midden-Oosten uitvoerde met behulp van een aangepaste achterdeur genaamd POWERSTATS. Het staat ook bekend om zijn destructieve aanvallen op Israëlische organisaties met behulp van een Thanos-ransomwarevariant genaamd PowGoop als onderdeel van een campagne die Operatie Quicksand wordt genoemd.
Volgens gegevens van het Israel National Cyber Directorate (INCD) zijn de aanvallen van MuddyWater gericht op de lokale autoriteiten van het land, de burgerluchtvaart, het toerisme, de gezondheidszorg, de telecommunicatie, de informatietechnologie en het midden- en kleinbedrijf (MKB).
Typische aanvalsketens omvatten technieken als spear-phishing en het exploiteren van bekende kwetsbaarheden in de VPN-infrastructuur om netwerken te infiltreren en legitieme tools voor extern beheer in te zetten – een al lang favoriete aanpak van MuddyWater. Maar sinds mei 2024 hebben de phishing-campagnes echter een achterdeur opgeleverd die bekend staat als BugSleep (ook bekend als MuddyRot).
Enkele van de andere opmerkelijke tools in het arsenaal zijn Blackout, een tool voor extern beheer (RAT); AnchorRat, een RAT die functies biedt voor het uploaden van bestanden en het uitvoeren van opdrachten; CannonRat, een RAT die opdrachten kan ontvangen en informatie kan verzenden; Neshta, een bekend bestandsinfectorvirus; en Sad C2, een command-and-control (C2)-framework dat een lader levert genaamd TreasureBox, die de BlackPearl RAT inzet voor bediening op afstand, en een binair bestand dat bekend staat als Pheonix om payloads van de C2-server te downloaden.
De cyberspionagegroep heeft een trackrecord in het aanvallen van een breed scala aan industrieën, met name overheden en kritieke infrastructuur, met behulp van een mix van op maat gemaakte malware en openbaar beschikbare tools. De nieuwste aanvalsreeks begint, net als in eerdere campagnes, met phishing-e-mails met pdf-bijlagen die linken naar legitieme externe desktoptools zoals Atera, Level, PDQ en SimpleHelp.
De campagne wordt gekenmerkt door het gebruik van een lader genaamd Fooder die is ontworpen om de op C/C++ gebaseerde MuddyViper-achterdeur te decoderen en uit te voeren. Als alternatief is gebleken dat de C/C++-lader ook go-socks5 reverse tunneling-proxy’s en een open-sourcehulpprogramma gebruikt met de naam HackBrowserData om browsergegevens van meerdere browsers te verzamelen, met uitzondering van Safari in Apple macOS.
“MuddyViper stelt de aanvallers in staat systeeminformatie te verzamelen, bestanden en shell-opdrachten uit te voeren, bestanden over te dragen en Windows-inloggegevens en browsergegevens te exfiltreren”, aldus het Slowaakse cyberbeveiligingsbedrijf in een rapport gedeeld met The Hacker News.
In totaal ondersteunt de achterdeur twintig opdrachten die geheime toegang tot en controle over geïnfecteerde systemen mogelijk maken. Een aantal Fooder-varianten bootsen het klassieke Snake-spel na, maar bevatten een vertraagde uitvoering om detectie te omzeilen. Het gebruik van Fooder door MuddyWater werd voor het eerst benadrukt door Group-IB in september 2025.
Bij de aanvallen worden ook de volgende hulpmiddelen gebruikt:
- VAXOne, een achterdeur die Veeam, AnyDesk, Xerox en de OneDrive-updateservice nabootst
- CE-Notes, een browsergegevenssteler die de app-gebonden codering van Google Chrome probeert te omzeilen door de coderingssleutel te stelen die is opgeslagen in het lokale statusbestand van Chromium-gebaseerde browsers (deelt overeenkomsten met de open-source ChroomLift project)
- Blub, een C/C++-browsergegevenssteler die inloggegevens van gebruikers verzamelt van Google Chrome, Microsoft Edge, Mozilla Firefox en Opera
- LP-Notes, een inloggegevensdief geschreven in C/C++ die gebruikers verleidt hun systeemgebruikersnaam en -wachtwoord in te voeren door een nep-Windows-beveiligingsdialoogvenster weer te geven
“Deze campagne duidt op een evolutie in de opera/onale volwassenheid van MuddyWater”, aldus ESET. “De inzet van voorheen ongedocumenteerde componenten – zoals de Fooder-lader en de MuddyViper-achterdeur – duidt op een poging om de mogelijkheden voor stealth, doorzettingsvermogen en het verzamelen van inloggegevens te verbeteren.”
Charmante kitten lekt
De onthulling komt weken nadat het Israel National Digital Agency (INDA) Iraanse dreigingsactoren, bekend als APT42, heeft toegeschreven aan aanvallen gericht op individuen en organisaties van belang in een op spionage gerichte campagne genaamd SpearSpecter. Er wordt aangenomen dat APT42 overlappingen deelt met een andere hackgroep die wordt gevolgd als APT35 (ook bekend als Charming Kitten en Fresh Feline).
Het volgt ook op een grootschalig lekken van interne documenten die de cyberoperaties van de hackgroep aan het licht hebben gebracht, die volgens de Brits-Iraanse activist Nariman Gharib bijdragen aan een systeem dat is ontworpen om individuen te lokaliseren en te doden die als een bedreiging voor Iran worden beschouwd. Het is verbonden met de Islamitische Revolutionaire Garde (IRGC), met name de contraspionageafdeling die bekend staat als Unit 1500.
“Het verhaal leest als een horrorscript geschreven in PowerShell en Perzisch,” zei FalconFeeds, eraan toevoegend dat het lek “een volledige kaart onthult van de Iraanse IRGC Unit 1500 cyberdivisie.”
De datadump werd in september en oktober 2025 op GitHub geplaatst door een anoniem collectief genaamd KittenBusterswier motivaties onbekend blijven. Opvallend is dat de schat Abbas Rahrovi, ook bekend als Abbas Hosseini, identificeert als de leider van de operatie, en beweert dat de hackeenheid wordt beheerd via een netwerk van frontbedrijven.
Misschien wel een van de andere meest consequente onthullingen is de vrijgave van de volledige broncode die verband houdt met de BellaCiao-malware, die in april 2023 door Bitdefender werd gemarkeerd als gebruikt bij aanvallen gericht op bedrijven in de VS, Europa, het Midden-Oosten en India. Volgens Gharib is de achterdeur het werk van een team dat opereert vanuit de Shuhada-basis in Teheran.
“Het gelekte materiaal onthult een gestructureerde commandoarchitectuur in plaats van een gedecentraliseerd hackerscollectief, een organisatie met duidelijke hiërarchieën, prestatietoezicht en bureaucratische discipline”, aldus DomainTools.
“Het APT35-lek legt een gebureaucratiseerd cyberinlichtingenapparaat bloot, een institutionele tak van de Iraanse staat met gedefinieerde hiërarchieën, workflows en prestatiestatistieken. De documenten onthullen een zichzelf onderhoudend ecosysteem waar griffiers de dagelijkse activiteiten registreren, de succespercentages van phishing kwantificeren en verkenningsuren bijhouden. Ondertussen testen en bewapenen technische staf exploits tegen de huidige kwetsbaarheden.”
