El grupo de amenazas conocido como MuddyWater (vinculado, según múltiples agencias de inteligencia, al Ministerio de Inteligencia de Irán) ha vuelto a la carga con una nueva herramienta en su arsenal. Los investigadores han identificado una puerta trasera nunca antes vista, bautizada apropiadamente como UDPGangster.
¿Qué hace diferente a este ataque?
La mayoría del malware convencional se comunica con sus creadores utilizando protocolos web estándar (HTTP/HTTPS sobre TCP), como si estuvieran navegando por una página web. Los sistemas de seguridad están muy entrenados para vigilar ese tipo de tráfico.
MuddyWater ha decidido cambiar de carril. Su nueva herramienta, UDPGangster, utiliza el protocolo UDP (User Datagram Protocol) para recibir órdenes y enviar datos robados.
El truco técnico
Imagina que el protocolo TCP (usado por la mayoría) es como una llamada telefónica: requiere establecer conexión, decir “hola”, confirma que me escuches y luego hablar. El protocolo UDP, en cambio, es como lanzar cartas al aire hacia una dirección: no hay confirmación de recibo y es mucho más “rápido y sucio”.
Al usar UDP, el malware logra dos cosas:
- Evasión: Muchos firewalls corporativos son menos estrictos inspeccionando paquetes UDP (usados sustancialmente para DNS, streaming de video o juegos online).
- Ruido: El tráfico malicioso se mezcla fácilmente con el ruido de fondo de la red, pasando desapercibido para los analistas que solo miran el tráfico web.
¿Quién es MuddyWater?
Es un actor de amenazas persistentes (APT) que históricamente se ha enfocado en objetivos geopolíticos en Medio Oriente, Israel, Turquía y, ocasionalmente, Europa y América del Norte. No buscan dinero (como el ransomware), buscan información. Su objetivo es el espionaje puro y duro.
El desafío del monitoreo UDP
Para los equipos de defensa (Blue Teams), inspeccionar tráfico UDP es difícil porque no tiene un “estado” de conexión claro. Sin embargo, UDPGangster deja huellas:
- Comportamiento inusual: Un servidor de archivos o una estación de trabajo de un empleado no debería estar enviando ráfagas constantes de paquetes UDP a una dirección IP desconocida en un país extranjero.
- Puertos extraños: A menudo usan puertos altos (por encima del 1024) o intentan disfrazarse de tráfico DNS (Puerto 53).
Recomendación
Revisa tus políticas de firewall. ¿Estás permitiendo salida UDP irrestricta hacia Internet? La regla de “Denegar todo por defecto” debe aplicarse también a UDP. Solo permite el tráfico UDP estrictamente necesario (como DNS hacia tus servidores de confianza o tráfico NTP para la hora) y bloquea el resto.
