El grupo de hacking vinculado al estado iraní conocido como MuddyWater ha sido atribuido a una nueva y vasta campaña dirigida a más de 100 organizaciones gubernamentales en la región de Oriente Medio y Norte de África (MENA). La operación utiliza una cuenta de correo comprometida y documentos con macros para distribuir el backdoor personalizado Phoenix.
Cadena de Ataque: Confianza Institucional y FakeUpdate
La campaña se enfoca en la inteligencia de Estado. Más de tres cuartas partes de los objetivos eran embajadas, misiones diplomáticas, ministerios de relaciones exteriores y consulados.
Mecanismo de Infiltración
- Explosión de confianza: MuddyWater explotó una cuenta de correo electrónico comprometida (utilizando el servicio NordVPN como capa de anonimato) para enviar correos que parecían legítimos, aumentando bruscamente la tasa de clics.
- Vector de Macro: Los correos que contienen documentos Word maliciosos con macros que, al ser habilitadas por la víctima, descargaban un cargador llamado “FakeUpdate”.
- Despliegue del Payload: “FakeUpdate” descifraba y ejecutaba el backdoor Phoenix v4, el cual está cifrado con AES.
Persistencia y evasión
- Phoenix v4: El backdoor establece persistencia, se comunica con su C2 a través de WinHTTP y soporta comandos amplios (iniciar shell, cargar/descargar archivos, intervalo de suspensión).
- Mezcla de herramientas: El actor combina su malware personalizado con herramientas legítimas de administración remota (RMM) como PDQ Deploy y Action1. Esta mezcla de tácticas living off the land y “abuso de herramientas comerciales” facilita la evasión de detección.
Conclusión: El volumen del ataque (más de 100 entidades con un solo hilo de Spear-phishing) y el objetivo primario (diplomáticos) reafirman que esta es una operación de inteligencia de Estado a gran escala.
Recomendaciones
- Refuerzo de Correo y Endpoints
- Política de Macros Estricta: Deshabilitar macros por defecto en todos los endpoints . Implementar la vista previa de documentos y exigir el manual de habilitación solo en casos estrictamente verificados.
- Verificación de Cuentas: Realizar verificaciones de cuentas de correo comprometidos y servicios VPN usados para envío malicioso.
- Restricción de ejecución: Verificar ejecutables recientes que usen rundll32.execon parámetros sospechosos o que descarguen librerías DLL desde URL poco comunes.
- Control y Monitoreo de Herramientas Legítimas
- Supervisión de RMM: Supervisar el uso de PDQ, Action1 u otras herramientas de RMM. Limitar su uso solo a personal autorizado y auditar los registros de su actividad.
- Monitoreo de C2: Configurar alertas para conexiones WinHTTP salientes con dominios o IP inusuales. Establecer listas blancas de tráfico C2.
- Seguridad Estructural y Persistencia
- Segmentación de Redes Sensibles: Aislar las estaciones de trabajo diplomáticas o de misiones de la red general y aplicar un control de acceso reducido.
- Auditoría de Persistencia: Realizar Threat Hunting para buscar instalaciones de backlogs, entradas de registro, tareas programadas o servicios nuevos que puedan indicar la presencia del loader FakeUpdate o Phoenix.
- Coordinación: Coordinador con el CERT/CSIRT nacional para notificar sobre campañas que afectan misiones o gobiernos.
