- ESET-onderzoekers hebben nieuwe activiteiten ontdekt van MuddyWater, een aan Iran gelieerde cyberspionagegroep, met aanvallen op kritieke infrastructuur in Israël en een bevestigd slachtoffer in Egypte.
- Daarbij werd MuddyViper ingezet, een nieuwe backdoor die, via een geavanceerde loader genaamd Fooder, reflectief in het geheugen wordt geladen en uitgevoerd.
- ESET heeft een technische analyse gepubliceerd van de gebruikte tools.
Sliedrecht, 2 december 2025 –ESET- onderzoekers hebben nieuwe spionageactiviteiten vastgesteld van de Iraans-gelieerde APT-groep MuddyWater. De campagne richtte zich met name op organisaties in Israël, actief in sectoren als technologie, engineering, productie, lokale overheid en onderwijs. Eén slachtoffer in Egypte is bevestigd.
MuddyWater, ook bekend als Mango Sandstorm of TA450, staat bekend om het langdurig aanvallen van overheidsinstellingen en organisaties binnen de kritieke infrastructuur. De groep maakt daarbij gebruik van zelfontwikkelde malware en openbare tools, en wordt in verband gebracht met het Iraanse ministerie van Inlichtingen en Nationale Veiligheid.
In deze nieuwe campagne werd een reeks niet eerder gedocumenteerde tools ingezet, met als doel betere ontwijking van detectie en langdurige toegang tot systemen. Het belangrijkste hiervan is MuddyViper, een backdoor waarmee aanvallers systeeminformatie kunnen verzamelen, bestanden en opdrachten kunnen uitvoeren, bestanden kunnen overdragen én Windows-inloggegevens en browserdata kunnen buitmaken. Voor extra datadiefstal werden aanvullende credential stealers gebruikt.
Opvallend is Fooder, een loader die zich voordoet als het klassieke Snake-spel en MuddyViper onopvallend in het geheugen laadt en uitvoert.
De aanvallen begonnen meestal met spearphishing-e-mails met PDF-bijlagen die linken naar installatieprogramma’s voor remote monitoring and management (RMM)-software. Deze werden gehost op platforms zoals OneHub, Egnyte en Mega. De gedownloade tools zijn onder meer Atera, Level, PDQ en SimpleHelp.
Ook werd de VAX One backdoor ingezet. Deze doet zich voor als legitieme software zoals Veeam, AnyDesk, Xerox of de OneDrive-updateservice.
Hoewel MuddyWater vaak bekende tactieken gebruikt die relatief eenvoudig te detecteren zijn, paste de groep in deze campagne ook geavanceerdere methodes toe. Zo werd MuddyViper geladen via Fooder, die meerdere versies kent en zich vermomt als Snake-spel. Een belangrijk kenmerk is een aangepaste vertragingstechniek die het gedrag van het spel simuleert en gebruikmaakt van “Sleep”-API’s. Hiermee proberen de aanvallers detectie door automatische analysetools te vermijden.
Op technisch vlak valt ook het gebruik van CNG (Cryptography API: Next Generation) op, een Windows-API die zelden wordt ingezet door Iran-gelieerde groepen.
Daarnaast vermeden de aanvallers bewust interactieve sessies via toetsenborden, een methode die vaak veel sporen achterlaat. Hoewel sommige componenten nog steeds makkelijk detecteerbaar zijn, wat typerend is voor MuddyWater,toont deze campagne duidelijke tekenen van technologische vooruitgang: meer precisie, strategische doelgerichtheid en een geavanceerder arsenaal aan tools.
De gebruikte tools na systeeminbraak omvatten onder meer:
- CE-Notes, gericht op Chromium-gebaseerde browsers
- LP-Notes, dat gestolen inloggegevens verifieert en verwerkt
- Blub, dat login-informatie steelt uit Chrome, Edge, Firefox en Opera
MuddyWater werd in 2017 voor het eerst beschreven door Unit 42. De toen vastgestelde werkwijze komt overeen met het huidige profiel: gericht op spionage, gebruik van malafide documenten om gebruikers te verleiden macro’s in te schakelen, en een focus op doelwitten in het Midden-Oosten.
Enkele bekende operaties van MuddyWater zijn:
- Operation Quicksand (2020) – gericht op Israëlische overheidsinstellingen en telecombedrijven, en een voorbeeld van de verschuiving van eenvoudige phishing naar meerlagige, geavanceerde aanvallen.
- Een campagne gericht op politieke groepen in Turkije, die laat zien hoe MuddyWater zich aanpast aan lokale contexten met social engineering en gebruikmaakt van modulaire malware en flexibele C&C-structuren.
ESET documenteerde meerdere campagnes van MuddyWater waarin de evolutie van hun werkwijze zichtbaar wordt. In maart en april 2023 richtte de groep zich op een onbekende partij in Saoedi-Arabië, en in januari-februari 2025 voerde zij een campagne uit met duidelijke overlap met Lyceum (een subgroep van OilRig). Dit wijst erop dat MuddyWater mogelijk optreedt als initial access broker voor andere Iraans-gelieerde groeperingen.
Voor een uitgebreide analyse is het volledige artikel “MuddyWater: Snakes by the riverbank“te lezen op WeLiveSecurity.com.
Volg ESET Research op X en BlueSky voor het laatste nieuws.
