Il gruppo di cyber spionaggio noto come MuddyWater, collegato all'Iran, è stato recentemente associato a una vasta campagna di attacchi informatici che ha preso di mira oltre 100 organizzazioni, principalmente nell'area del Medio Oriente e Nord Africa (MENA). In particolare, sono stati compromessi diversi enti governativi, inclusi ministeri degli affari esteri, ambasciate e consolati, oltre a organizzazioni internazionali e aziende di telecomunicazioni.

La tecnica di attacco

La tecnica principale utilizzata da MuddyWater in questa campagna è stata l'abuso di un account email compromesso, accessibile tramite VPN legittima (NordVPN), per inviare email di phishing che simulavano comunicazioni autentiche. Questa strategia ha aumentato notevolmente la probabilità che i destinatari aprissero gli allegati dannosi, fidandosi della provenienza dei messaggi.

Gli allegati erano documenti Microsoft Word manipolati, che invitavano gli utenti ad abilitare le macro. Una volta attivate, queste macro eseguivano codice VBA dannoso, che procedeva con il rilascio di una backdoor denominata Phoenix (versione 4) tramite un loader chiamato FakeUpdate. Il payload malevolo era cifrato con lo standard AES per eludere i controlli di sicurezza e veniva scritto direttamente sul disco del sistema compromesso.

Caratteristiche della backdoor Phoenix

Phoenix è una backdoor leggera che consente agli attaccanti di raccogliere informazioni di sistema, mantenere la persistenza, lanciare shell interattive e trasferire file. Sono state identificate due varianti distinte di Phoenix in uso, che dimostrano la continua evoluzione degli strumenti utilizzati dal gruppo MuddyWater. Inoltre, i server di comando e controllo utilizzati dagli attaccanti ospitavano anche strumenti di gestione remota (RMM) come PDQ e Action1, oltre a tool personalizzati per il furto di credenziali da browser come Brave, Chrome, Edge e Opera.

Tendenze e rischi per la sicurezza

L’approccio scelto da MuddyWater evidenzia una tendenza sempre più diffusa tra i gruppi APT: combinare malware personalizzati con software legittimi per aumentare la furtività e la resilienza degli attacchi. Il gruppo, attivo almeno dal 2017 e affiliato al Ministero dell'Intelligence iraniano, continua a rappresentare una minaccia significativa per la sicurezza informatica di enti governativi e infrastrutture critiche, soprattutto nella regione MENA. La diffusione di nuove varianti di malware come Phoenix e l’utilizzo di tecniche di phishing sempre più sofisticate rendono essenziale il monitoraggio costante e l’adozione di strategie di difesa avanzate da parte delle organizzazioni potenzialmente a rischio.