• ESET Research ontdekte nieuwe activiteiten van MuddyWater (aan Iran gelinkte cyberspionagegroep) die zich richten op kritieke overheidsinfrastructuren in Israël, met een bevestigd doelwit in Egypte.
• De groep gebruikte geavanceerdere technieken om MuddyViper, een nieuwe backdoor, te implementeren door een loader (Fooder ) te gebruiken die de backdoor in het geheugen laadt en uitvoert.
• ESET biedt technische analyses van de tools die in deze campagne gebruikt worden.
MONTREAL, BRATISLAVA, 2 december 2025 — ESET Research heeft nieuwe MuddyWater-activiteiten geïdentificeerd die zich vooral richten op organisaties in Israël, met een bevestigd doelwit in Egypte. In Israël waren de doelwitten sectoren als technologie, engineering, productie, lokale overheid en onderwijs. MuddyWater, ook wel Mango Sandstorm of TA450 genoemd, is een aan Iran gelinkte cyberspionagegroep bekend om zijn aanhoudende aanvallen op de overheid en kritieke infrastructuur. Hierbij worden aangepaste malware en publieke tools gebruikt. De groep is gelinkt aan het Iraanse Ministerie van Inlichtingen en Nationale Veiligheid. In deze campagne werden een reeks nog niet gedocumenteerde, aangepaste tools ingezet om de verdediging te ontwijken en de persistentie te verbeteren. MuddyViper, de nieuwe backdoor, laat de aanvallers toe om systeeminformatie te verzamelen, bestanden en shell-opdrachten uit te voeren, bestanden over te dragen en Windows-inlog-gegevens en browsergegevens te exfiltreren. De campagne gebruikt extra inlog-gegevensstealers. Een ervan is Fooder, een aangepaste loader die zich als het klassieke Snake-spel voordoet.
Hier wordt de eerste toegang meestal verkregen via spearphishing-e-mails, vaak met pdf-bijlagen gelinkt aan installatieprogramma’s voor software voor remote monitoring en beheer (RMM) die gehost worden op gratis platformen voor bestandsdeling zoals OneHub, Egnyte of Mega. De links leiden naar het downloaden van tools zoals Atera, Level, PDQ en SimpleHelp. Tot de tools die ingezet worden door MuddyWater-operatoren behoort ook de VAX One-backdoor, genoemd naar de legitieme software die het nabootst: Veeam, AnyDesk, Xerox en de OneDrive-updateservice.
Het voortdurende gebruik van de groep van dit bekende script maakt zijn activiteiten nogal eenvoudig te detecteren en te blokkeren. De groep gebruikte hier ook geavanceerdere technieken om MuddyViper, een nieuwe backdoor, te implementeren. Deze techniek werd uitgevoerd met een loader (Fooder) die MuddyViper reflectief in het geheugen laadt en uitvoert. Meerdere versies van Fooder vermommen zich als de klassieke Snake-game, vandaar de naam MuddyViper. Een ander kenmerk van Fooder is het frequente gebruik van een aangepaste vertragingsfunctie die de basislogica van de Snake-game implementeert, gecombineerd met “Sleep” API-oproepen. Deze functies zijn bedoeld om de uitvoering te vertragen in een poging het kwaadaardige gedrag te verbergen voor geautomatiseerde analyse-systemen. Daarnaast gebruiken de ontwikkelaars van MuddyWater CNG, de volgende generatie cryptografische APIs voor Windows. Dit is nogal uniek voor groepen gelinkt aan Iran en atypisch in het ruimere dreigingslandschap. Tijdens deze campagne vermeden de operatoren opzettelijk interactieve sessies met het toetsenbord, een techniek die nogal omslachtig is. Hoewel sommige componenten nog steeds veel ruis produceren en gemakkelijk te detecteren zijn, wat typisch is voor MuddyWater, vertoont deze campagne tekens van technische evolutie: verhoogde precisie, strategische targeting en een geavanceerdere toolset.
Na een hack bevat de toolset ook meerdere stealers van inloggegevens: CE-Notes, dat zich richt op Chromium-gebaseerde browsers; LP-Notes, dat gestolen inloggegevens scant en verifieert; en Blub, dat inloggegevens steelt van de browsers Chrome, Edge, Firefox en Opera.
IN 2017 werd MuddyWater voor het eerst door Unit 42 aan het publiek voorgesteld. De beschrijving van de activiteiten komt overeen met de profilering gemaakt door ESET : een focus op cyberspionage, het gebruik van schadelijke documenten als bijlagen om gebruikers aan te zetten macro’s in te schakelen en beveiligingscontroles te omzeilen, en primair gericht op entiteiten in het Midden-Oosten.
Belangrijke activiteiten waren o.a. Operaton Quicksand (2020), een cyberspionage-campagne gericht op Israëlische overheidsinstanties en telecommunicatie-organisaties, die de evolutie van de groep van eenvoudige phishing tactieken naar geavanceerdere, meerfase-operaties laat zien; een campagne gericht op politieke groepen en organisaties in Turkije, die de geopolitieke focus van de groep aantoont, het vermogen om social engineering-tactieken aan lokale contexten aan te passen en het vertrouwen in modulaire malware en flexibele Command & Control-infrastructuur.
ESET heeft meerdere campagnes gedocumenteerd die aan MuddyWater toegeschreven zijn en die de evolutie van de toolset en de veranderende operationele focus van de groep benadrukken. In maart en april 2023 richtte MuddyWater zich op een onbekend slachtoffer in Saoedi-Arabië en begin 2025 voerde de groep een campagne uit die opviel door de overlap met Lyceum (een subgroep van OilRig). Dit suggereert dat MuddyWater zou fungeren als een initiële toegangsmakelaar voor andere aan Iran gelinkte groepen.
Lees voor een meer gedetailleerde analyse van deze MuddyWater-campagne de nieuwste blog van ESET Research “MuddyWater: Snakes by the riverbank”op www.welivesecurity.com . Volg ook ESET Research op Twitter (today known as X), BlueSky, en Mastodon voor de nieuwste informatie.
ESET zet zich in met onderzoek van wereldniveau en krachtige threat intelligence, ondersteund door R&D-centra en een sterk wereldwijd partnernetwerk. Bezoek voor meer informatie of www.eset.com of https://www.est.com/be-nl/,volg onze sociale media, podcasts en blogs.
Meer lezen