El actor de amenazas patrocinado por el estado iraní, conocido como MuddyWater, se ha atribuido un nuevo enjambre de ataques dirigidos a Turquía y la Península Arábiga con el objetivo de desplegar troyanos de acceso remoto (RAT) en los sistemas comprometidos.

“El supergrupo MuddyWater está muy motivado y puede utilizar el acceso no autorizado para llevar a cabo espionaje, robo de propiedad intelectual y desplegar ransomware y malware destructivo en una empresa”, afirman los investigadores de Cisco Talos Asheer Malhotra, Vitor Ventura y Arnaud Zobec en un informe publicado hoy.

El grupo, que lleva activo al menos desde 2017, es conocido por sus ataques a diversos sectores que ayudan a seguir avanzando en los objetivos geopolíticos y de seguridad nacional de Irán. En enero de 2022, el Comando Cibernético de Estados Unidos atribuyó el actor al Ministerio de Inteligencia y Seguridad del país (MOIS).

También se cree que MuddyWater es un “conglomerado de múltiples equipos que operan de forma independiente en lugar de un solo grupo de actores de amenazas”, agregó la firma de ciberseguridad, lo que lo convierte en un actor paraguas en la línea de Winnti, una amenaza persistente avanzada (APT) basada en China.

Las últimas campañas llevadas a cabo por el grupo de hackers implican el uso de documentos con malware entregados a través de mensajes de phishing para desplegar un troyano de acceso remoto llamado SloughRAT (también conocido como Canopy por CISA) capaz de ejecutar código arbitrario y comandos recibidos desde sus servidores de comando y control (C2).

Info – Ciberseguridad Latam