De Iraanse hackgroep bekend als ModderigWater is gekoppeld aan een nieuwe campagne die in het eerste kwartaal van 2026 ten minste negen organisaties in negen landen op vier continenten treft.
De activiteit was gericht op industriële en elektronische productie, onderwijs en overheidsinstanties, financiële dienstverlening en professionele dienstverlening, aldus het Threat Hunter Team van Symantec en Carbon Black. Onder de slachtoffers bevindt zich een grote Zuid-Koreaanse elektronicafabrikant, waarbij de aanvallers in februari 2026 een week in zijn netwerk doorbrachten.
Als onderdeel van de uitgebreide spionage-inspanningen werden ook een internationale luchthaven in het Midden-Oosten, industriële fabrikanten uit Zuidoost-Azië en een Latijns-Amerikaanse financiële dienstverlener genoemd.
“De aanvallers vertrouwden zwaar op DLL side-loading met behulp van legitiem ondertekende Fortemedia (fmapp.exe) en SentinelOne (sentinelmemoryscanner.exe) binaire bestanden om kwaadaardige DLL’s uit te voeren terwijl ze zich voordeden als goedaardige software”, aldus de cyberbeveiligingsteams van Broadcom.
Het gebruik van “fmapp.exe” om “fmapp.dll” te sideloaden werd eerder gedocumenteerd door Group-IB in verband met een andere MuddyWater-campagne met de codenaam Operation Olalampo. Volgens Huntress bevat de DLL code om verbinding te maken met een door de aanvaller beheerd IP-adres (“157.20.182(.)49”).
Aan de andere kant wordt het misbruik van “sentinelmemoryscanner.exe” – een binair bestand dat is gekoppeld aan een beveiligingsproduct – beoordeeld als een bewuste keuze, omdat het op handtekeningen gebaseerde detectie kan omzeilen. Het is ontworpen om een frauduleuze DLL met de naam “sentinelagentcore.dll” te sideloaden.
Beide DLL’s bevatten een open-source tool genaamd ChromElevator om wachtwoorden, cookies en betaalkaartgegevens uit Chromium-gebaseerde browsers over te hevelen, waardoor App-Bound Encryption (ABE)-beveiligingen effectief worden omzeild.
Een opmerkelijk aspect van de aanvallen is het gebruik van Node.js-scripts om PowerShell-code te starten die verantwoordelijk is voor het uitvoeren van ontdekkings- en informatieverzamelingsoperaties. In ten minste één geval is gebleken dat de aanvallers de gestolen gegevens op sendit(.)sh, een openbare dienst voor bestandsoverdracht, hebben opgeslagen.
“Een op node.exe gebaseerde implantaatketen werd gebruikt om PowerShell-scripts te verwijderen die verkenningen, screenshot-opnames, SAM-hive-diefstal, privilege-escalatie en SOCKS5 reverse-proxy-tunneling uitvoerden”, aldus Symantec en Carbon Black.
Ook geleverd worden de twee bovengenoemde DLL-side-loading-paren om aanvallers een geheime tunnel te bieden om verkeer door te geven en te starten ChroomLift. De aanvallen worden ook gekenmerkt door pogingen om inloggegevens te dumpen waarmee ze zich lateraal over de netwerken kunnen verplaatsen.
Bij de inbraak gericht op de Zuid-Koreaanse elektronicafabrikant wordt aangenomen dat MuddyWater herhaaldelijk op PowerShell gebaseerde verkenningen heeft uitgevoerd en de twee binaire bestanden opnieuw heeft uitgevoerd om ervoor te zorgen dat deze toegang behoudt tot de besmette host. De initiële toegangsvector die werd gebruikt om de organisatie binnen te dringen, is onbekend.
“De cadans komt opnieuw overeen met implantaatgestuurde activiteit en niet met de continue aanwezigheid van operators”, aldus de onderzoekers. “De campagnegeschiedenis laat een duidelijke beweging zien in de richting van stillere, meer gedisciplineerde operaties. Geen van deze technieken is individueel nieuw, maar in combinatie leveren ze meer bewijs van een aanzienlijke stap voorwaarts in de operationele hygiëne ten opzichte van de Seedworm die we twee of drie jaar geleden kenden.”
Deze ontwikkeling komt op het moment dat de Europese Raad sancties heeft opgelegd aan het Iraanse bedrijf Emennet Pasargad voor het hacken van een Zweedse sms-dienst, het toegang krijgen tot de inhoud van een Franse abonneedatabase en het te koop aanbieden ervan, en voor het verspreiden van desinformatie via gecompromitteerde reclameborden tijdens de Olympische Spelen van 2024 in Parijs.
Het bedrijf heet volgens het Amerikaanse ministerie van Buitenlandse Zaken Shahid Shushtari en is aangesloten bij het Cyber-Electronic Command (IRGC-CEC) van de Iraanse Islamitische Revolutionaire Garde. Het wordt gevolgd onder de namen Cobalt Obelisk, Cotton Sandstorm, Haywire Kitten (voorheen ChaoticOrchestra), Marnanbridge en UNC5866.
“Leden van Shahid Shushtari hebben aanzienlijke financiële schade en ontwrichting veroorzaakt voor Amerikaanse bedrijven en overheidsinstanties door middel van gecoördineerde cyber- en cyber-enabled informatieoperaties”, merkte het ministerie van Buitenlandse Zaken in december 2025 op. “Deze campagnes zijn gericht op meerdere kritieke infrastructuursectoren, waaronder nieuws, scheepvaart, reizen, energie, financiën en telecommunicatie in de Verenigde Staten, Europa en het Midden-Oosten.”
Door Iran gesteunde hackers zijn tussen eind maart en begin april 2026 ook betrokken geweest bij een exfiltratiecampagne gericht op organisaties in de VS, Israël, Saoedi-Arabië en Turkije, waarbij ten minste twee Amerikaanse slachtoffers ook het doelwit waren van destructieve operaties, zoals het verwijderen van partities en gegevensback-ups.
Hoewel deze incidenten werden opgeëist door een pro-Iraanse persoonlijkheid genaamd Ababil van Minab, heeft een nieuwe analyse van Gambit Security de campagne-infrastructuur gekoppeld aan het Iraanse Ministerie van Inlichtingen en Veiligheid (MOIS).
Andere doelwitten zijn onder meer een Israëlische organisatie in de mediasector, een Israëlische instelling voor hoger onderwijs, een Turkse verzekeringsmakelaardij en verschillende aanvullende websites in de restaurant-, cultuur-, digitale diensten- en nieuwssector.
Er zijn geen destructieve activiteiten tegen deze slachtoffers waargenomen. In deze gevallen bleek de tegenstander een op maat gemaakte C++-tool voor het verzamelen en exfiltreren van bestanden te gebruiken met de interne codenaam FileFiend.
“Het binaire bestand kan lokale schijven en SMB-shares opsommen, het bestandssysteem doorlopen en bestanden naar een hardgecodeerde C2-server (command-and-control) sturen”, aldus Gambit Security-onderzoekers Eyal Sela en Nir Varon in een vandaag gepubliceerd rapport.
Als alternatief kunnen interessante gegevens worden gecomprimeerd in RAR-archieven op een host binnen de slachtofferomgeving en geüpload naar de openbare website van de organisatie in de webroot, vanwaar ze worden geëxtraheerd met behulp van de Axel-opdrachtregeldownloadversneller en door proxychains worden getunneld.
