Les chercheurs en cybersécurité d’ESET viennent de mettre au jour une nouvelle vague d’attaques orchestrée par MuddyWater, un acteur de cyberespionnage aligné sur les intérêts de l’Iran. Cette opération se concentre principalement sur des organisations israéliennes touchant les secteurs technologiques, de l’ingénierie, de l’industrie, des administrations locales et de l’éducation. Un cas de compromission a également été confirmé en Égypte.
MuddyWater, connu aussi sous les noms Mango Sandstorm ou TA450, est tristement célèbre pour ses attaques persistantes visant les administrations et les infrastructures critiques, exploitant des outils sur mesure et des utilitaires légitimes.
MuddyViper, une nouvelle backdoor puissante
Dans le cadre de cette campagne, le groupe a introduit un arsenal inédit, visant à accroître sa furtivité et sa persistance sur les réseaux compromis. Au cœur de cet arsenal se trouve MuddyViper, une nouvelle backdoor puissante. Selon les chercheurs d’ESET, cet outil est capable de collecter des informations système détaillées, d’exécuter des commandes à distance, de gérer le transfert de fichiers et, plus important encore, d’exfiltrer des identifiants Windows et des données sensibles stockées par les navigateurs web. La chaîne d’infection utilise également plusieurs voleurs d’identifiants dédiés et un chargeur sophistiqué nommé Fooder.
L’accès initial aux systèmes repose sur une technique classique mais efficace : des emails de spearphishing incluant des documents PDF piégés. Ces documents redirigent les victimes vers des installateurs de solutions de surveillance et de gestion à distance, souvent hébergés sur des plateformes de partage de fichiers grand public telles que OneHub, Egnyte ou Mega. Les liens mènent au téléchargement d’outils légitimes comme Atera, Level, PDQ et SimpleHelp. De plus, les opérateurs déploient VAX One, une autre backdoor qui se fait passer pour des logiciels bien connus tels que Veeam, AnyDesk, Xerox ou le service de mise à jour OneDrive.
Ce qui est nouveau dans cette campagne
Bien que MuddyWater conserve ses méthodes de base, la présente campagne introduit des techniques d’évasion significativement plus sophistiquées. L’une des avancées réside dans le fonctionnement de Fooder. Il charge MuddyViper directement en mémoire vive, une méthode connue sous le nom de chargement réfléchissant, évitant ainsi toute écriture de l’outil malveillant sur le disque dur, rendant la détection par les solutions de sécurité traditionnelles plus difficile. Fooder se déguise en plusieurs variantes du jeu Snake, d’où le nom de la backdoor MuddyViper.
Pour contourner les systèmes d’analyse automatisée, les développeurs ont intégré une fonction de délai inspirée par la logique de progression du jeu Snake, combinée à des appels API espacés dans le temps. Les attaquants exploitent également l’API cryptographique de nouvelle génération de Windows, CNG. De manière générale, les opérateurs évitent les sessions interactives manuelles, réduisant les traces visibles de leurs activités. Le résultat final est une campagne affichant une meilleure précision, un ciblage plus affûté et des outils nettement plus avancés.
Après avoir établi un point d’ancrage, l’arsenal post-compromission est enrichi de plusieurs infostealers spécialisés. On retrouve CE Notes, ciblant spécifiquement les navigateurs basés sur Chromium, LP Notes, utilisé pour la préparation et la validation des identifiants dérobés, et Blub, capable de siphonner les données de connexion depuis Chrome, Edge, Firefox et Opera.
L’évolution de MuddyWater témoigne de sa sophistication croissante. Déjà en 2020, l’opération Quicksand avait ciblé des entités gouvernementales israéliennes et des opérateurs télécoms, marquant une transition vers des campagnes multi étapes. Plus récemment, en janvier et février 2025, une campagne a révélé un chevauchement opérationnel avec Lyceum, un sous-groupe d’OilRig. Cette coordination suggère que MuddyWater pourrait endosser le rôle de fournisseur d’accès initial pour d’autres groupes d’acteurs de menaces également alignés sur les objectifs de l’Iran.
Source : communiqué ESET
adjoba@impact-numerique.com
