Desde principios de 2025, los equipos de ciberseguridad han observado un marcado resurgimiento en las operaciones atribuidas a Muddywater, un actor avanzado de amenaza persistente (APT) patrocinada por el estado iraní.
Al emerger inicialmente a través de amplias exploits de monitorización y gestión remota (RMM), el grupo ha girado a campañas altamente específicas que emplean puertas traseras de malware personalizadas y cargas útiles de varias etapas diseñadas para evadir la detección.
En lugar de depender únicamente de las herramientas estándar, el adversario ha ampliado su arsenal para incluir implantes a medida como Bugsleep, StealthCache y la puerta trasera de Phoenix.
Estos componentes funcionan en concierto para establecer puntos de apoyo encubiertos, extraer datos confidenciales e infraestructura de enmascarar utilizando servicios comerciales a escala.
Los vectores de ataque continúan centrándose en correos electrónicos de phishing de lanza que incorporan documentos maliciosos de Microsoft Office.
Perfil del actor de amenaza (Fuente-Grupo-IB)
Las víctimas reciben documentos de señuelo atados con macros VBA que dejan caer y ejecutan cargas útiles secundarias de dominios protegidos por Cloudflare.
Los anfitriones infectados luego se acercan a los servidores de comando y control (C2) alojados en proveedores principales y a prueba de balas, que se extienden desde AWS y Digitalocean hasta Stark Industries, antes de cambiar la comunicación detrás de los proxies de CloudFlare hasta oscurecer las IP de origen.
Analistas del grupo de IP anotado Ese servicio de proxy inverso de Cloudflare aumenta drásticamente la dificultad de rastrear los puntos finales C2 activos, ya que todo el tráfico parece originarse en los hosts de CloudFlare compartidos.
Cargador inicial
Tras la ejecución, el cargador inicial (comúnmente llamado WTSAPI32.Dll) descifra e inyecta la puerta trasera StealthCache en procesos legítimos.
Cadena de infección (Fuente-Grupo-IB)
StealthCache establece un protocolo Pseudo-TLV sobre HTTPS, enviando y recibiendo comandos cifrados en Endpoint /AQ36 y errores de informes AT /Q2QQ32.
Los analistas del grupo de IP identificaron rutinas XOR personalizadas que derivan dinámicamente las claves de descifrado de las cadenas de dispositivos y nombre de usuario de la víctima, frustrando el análisis de sandbox cuando se ejecutan en hosts no coincidentes.
En su última fase operativa, el enfoque de varias etapas de Muddywater ha entregado un trío de cargas útiles: un gotero de VBA inicial, un cargador como Feeber y una puerta trasera rica en funciones como StealthCache.
Al recibir un código de comando, StealthCache ejecuta acciones que van desde capas interactivas hasta exfiltración de archivos:
// Decrypt Function Fnippet void Decrypt_payload (uint8_t *buffer, size_t size, const char *key) {for (size_t i = 0; i
Este diseño modular permite actualizaciones de comando perfectas y intercambios de carga útil sin escribir en el disco, reforzar la persistencia y minimizar los artefactos forenses.
Al aprovechar CloudFlare para enmascarar los puntos finales de los servidores verdaderos e integrar el descifrado dinámico con llave a los identificadores de host, Muddywater ha creado una cadena de infecciones de varias etapas resistente que sigue siendo difícil de los defensores de la red.
El monitoreo continuo de los dominios asociados a CloudFlare, junto con el análisis vigilante de nombres mutex únicos y patrones de URL C2, es esencial para evitar nuevas campañas y salvaguardar la infraestructura crítica.
¡Webinar gratuito en vivo en nuevas tácticas de malware de nuestros analistas! Aprenda técnicas de detección avanzada -> Regístrese gratis
