Tin tặc có liên hệ với Iran tấn công các khu vực Israel bằng backdoor MuddyViper

[T-X]

Các tổ chức của Israel trong các lĩnh vực học thuật, kỹ thuật, chính quyền địa phương, sản xuất, công nghệ, giao thông vận tải và tiện ích đã trở thành mục tiêu của một loạt cuộc tấn công mới do các tác nhân quốc gia Iran thực hiện bằng cách phát tán một phần mềm độc hại chưa từng được ghi nhận trước đây có tên là MuddyViper.

ESET đã quy kết hoạt động này cho một nhóm tin tặc có tên MuddyWater (hay còn gọi là Mango Sandstorm hoặc TA450), một nhóm được đánh giá là có liên kết với Bộ Tình báo và An ninh Iran (MOIS). Các cuộc tấn công cũng nhắm vào một công ty công nghệ có trụ sở tại Ai Cập.

Nhóm hacker này lần đầu tiên bị phát hiện vào tháng 11 năm 2017, khi Đơn vị 42 của Palo Alto Networks trình bày chi tiết các cuộc tấn công có chủ đích vào Trung Đông từ tháng 2 đến tháng 10 năm đó bằng một backdoor tùy chỉnh có tên POWERSTATS. Nhóm này cũng được biết đến với các cuộc tấn công phá hoại nhằm vào các tổ chức Israel bằng biến thể ransomware Thanos có tên PowGoop, một phần của chiến dịch được gọi là Chiến dịch Cát Lún.

Theo dữ liệu từ Cục An ninh mạng Quốc gia Israel (INCD), các cuộc tấn công của MuddyWater nhắm vào chính quyền địa phương, hàng không dân dụng, du lịch, chăm sóc sức khỏe, viễn thông, công nghệ thông tin và các doanh nghiệp vừa và nhỏ (SME) của nước này.

Chuỗi tấn công điển hình bao gồm các kỹ thuật như lừa đảo trực tuyến (spear-phishing) và khai thác các lỗ hổng đã biết trong cơ sở hạ tầng VPN để xâm nhập mạng và triển khai các công cụ quản lý từ xa hợp pháp - một phương pháp được MuddyWater ưa chuộng từ lâu. Tuy nhiên, ít nhất là kể từ tháng 5 năm 2024, các chiến dịch lừa đảo trực tuyến đã phát tán một backdoor được gọi là BugSleep (hay còn gọi là MuddyRot).

Một số công cụ đáng chú ý khác trong kho vũ khí của nó bao gồm Blackout, một công cụ quản trị từ xa (RAT); AnchorRat, một RAT cung cấp các tính năng tải tệp và thực thi lệnh; CannonRat, một RAT có thể nhận lệnh và truyền thông tin; Neshta, một loại vi-rút lây nhiễm tệp đã biết; và Sad C2, một khuôn khổ chỉ huy và kiểm soát (C2) cung cấp trình tải có tên là TreasureBox, triển khai BlackPearl RAT để điều khiển từ xa và một tệp nhị phân có tên là Pheonix để tải xuống các tải trọng từ máy chủ C2.

Nhóm gián điệp mạng này có thành tích tấn công vào nhiều ngành công nghiệp, đặc biệt là chính phủ và cơ sở hạ tầng quan trọng, bằng cách sử dụng kết hợp phần mềm độc hại tùy chỉnh và các công cụ công khai. Chuỗi tấn công mới nhất bắt đầu, giống như các chiến dịch trước, bằng các email lừa đảo chứa tệp PDF đính kèm liên kết đến các công cụ máy tính từ xa hợp pháp như Atera, Level, PDQ và SimpleHelp.

Chiến dịch này được đánh dấu bằng việc sử dụng một trình tải có tên Fooder, được thiết kế để giải mã và thực thi backdoor MuddyViper dựa trên C/C++. Ngoài ra, trình tải C/C++ này cũng được phát hiện triển khai proxy đường hầm ngược go-socks5 và một tiện ích mã nguồn mở có tên HackBrowserData để thu thập dữ liệu trình duyệt từ nhiều trình duyệt, ngoại trừ Safari trên Apple macOS.

"MuddyViper cho phép kẻ tấn công thu thập thông tin hệ thống, thực thi các tệp và lệnh shell, truyền tệp và đánh cắp thông tin đăng nhập Windows và dữ liệu trình duyệt", công ty an ninh mạng Slovakia cho biết trong báo cáo chia sẻ với The Hacker News.

Tổng cộng, backdoor này hỗ trợ 20 lệnh giúp truy cập và kiểm soát bí mật các hệ thống bị nhiễm. Một số biến thể Fooder mô phỏng trò chơi Rắn săn mồi kinh điển, đồng thời tích hợp cơ chế thực thi chậm để tránh bị phát hiện. Việc MuddyWater sử dụng Fooder lần đầu tiên được Group-IB nêu bật vào tháng 9 năm 2025.

Ngoài ra, các công cụ sau đây cũng được sử dụng trong các cuộc tấn công:

    VAXOne, một cửa hậu giả mạo Veeam, AnyDesk, Xerox và dịch vụ cập nhật OneDrive
    CE-Notes, một công cụ đánh cắp dữ liệu trình duyệt cố gắng vượt qua mã hóa liên kết ứng dụng của Google Chrome bằng cách đánh cắp khóa mã hóa được lưu trữ trong tệp Trạng thái cục bộ của các trình duyệt dựa trên Chromium (có điểm tương đồng với dự án ChromElevator nguồn mở )
    Blub, một trình đánh cắp dữ liệu trình duyệt C/C++ thu thập dữ liệu đăng nhập của người dùng từ Google Chrome, Microsoft Edge, Mozilla Firefox và Opera
    LP-Notes, một chương trình đánh cắp thông tin đăng nhập được viết bằng C/C++, lừa người dùng nhập tên người dùng và mật khẩu hệ thống bằng cách hiển thị hộp thoại Bảo mật Windows giả mạo

"Chiến dịch này cho thấy sự tiến hóa trong quá trình hoạt động của MuddyWater", ESET cho biết. "Việc triển khai các thành phần chưa được ghi nhận trước đây - chẳng hạn như trình tải Fooder và cửa hậu MuddyViper - báo hiệu nỗ lực tăng cường khả năng ẩn mình, tính bền bỉ và thu thập thông tin đăng nhập."

Rò rỉ mèo con quyến rũ. Tiết lộ này được đưa ra vài tuần sau khi Cơ quan Kỹ thuật số Quốc gia Israel (INDA) quy trách nhiệm cho các tác nhân đe dọa từ Iran, được biết đến với tên gọi APT42, thực hiện các cuộc tấn công nhắm vào các cá nhân và tổ chức đáng ngờ trong một chiến dịch tập trung vào hoạt động gián điệp mang tên SpearSpecter. APT42 được cho là có điểm chung với một nhóm tin tặc khác được theo dõi là APT35 (hay còn gọi là Charming Kitten và Fresh Feline).

Vụ việc này cũng diễn ra sau một vụ rò rỉ lớn tài liệu nội bộ, phơi bày hoạt động mạng của nhóm tin tặc này, mà theo nhà hoạt động người Anh gốc Iran Nariman Gharib, được sử dụng để cung cấp thông tin cho một hệ thống được thiết kế để định vị và tiêu diệt những cá nhân bị coi là mối đe dọa đối với Iran. Hệ thống này có liên quan đến Lực lượng Vệ binh Cách mạng Hồi giáo (IRGC), cụ thể là đơn vị phản gián được gọi là Đơn vị 1500.

FalconFeeds cho biết: "Câu chuyện giống như một kịch bản kinh dị được viết bằng PowerShell và tiếng Ba Tư", đồng thời nói thêm rằng vụ rò rỉ tiết lộ "một bản đồ hoàn chỉnh về đơn vị mạng 1500 của IRGC Iran".

Dữ liệu bị rò rỉ đã được đăng lên GitHub vào tháng 9 và tháng 10 năm 2025 bởi một nhóm hacker ẩn danh có tên KittenBusters, động cơ của nhóm này vẫn chưa được làm rõ. Đáng chú ý, kho dữ liệu xác định Abbas Rahrovi, còn được gọi là Abbas Hosseini, là thủ lĩnh của hoạt động này, và cáo buộc rằng nhóm hacker này được điều hành thông qua một mạng lưới các công ty bình phong.

Có lẽ một trong những tiết lộ quan trọng nhất là việc công bố toàn bộ mã nguồn liên quan đến phần mềm độc hại BellaCiao, được Bitdefender đánh dấu vào tháng 4 năm 2023 là được sử dụng trong các cuộc tấn công nhắm vào các công ty ở Mỹ, Châu Âu, Trung Đông và Ấn Độ. Theo Gharib, backdoor này là sản phẩm của một nhóm hoạt động tại căn cứ Shuhada ở Tehran.

DomainTools cho biết : "Các tài liệu bị rò rỉ tiết lộ một cấu trúc chỉ huy có cấu trúc thay vì một nhóm tin tặc phi tập trung, một tổ chức có hệ thống phân cấp riêng biệt, giám sát hiệu suất và kỷ luật quan liêu".

Vụ rò rỉ APT35 phơi bày một bộ máy tình báo mạng quan liêu, một nhánh của nhà nước Iran với hệ thống phân cấp, quy trình làm việc và thước đo hiệu suất được xác định rõ ràng. Các tài liệu tiết lộ một hệ sinh thái tự duy trì, nơi các nhân viên ghi lại hoạt động hàng ngày, định lượng tỷ lệ thành công của các cuộc tấn công lừa đảo và theo dõi số giờ trinh sát. Trong khi đó, đội ngũ kỹ thuật kiểm tra và khai thác các lỗ hổng hiện có.