MuddyViper Hintertür
Eine jüngste Welle von Spionageaktivitäten hat eine Vielzahl israelischer Organisationen in den Bereichen Wissenschaft, Ingenieurwesen, Kommunalverwaltung, Produktion, Technologie, Transport und Energieversorgung ins Visier genommen. Die Operation, die iranischen, staatsnahen Akteuren zugeschrieben wird, führte eine zuvor unbekannte Hintertür namens MuddyViper ein und signalisiert damit eine Eskalation der Taktiken der Gruppe. Auch ein ägyptisches Technologieunternehmen geriet ins Visier der Kampagne, die von Ende September 2024 bis Mitte März 2025 andauerte.
Inhaltsverzeichnis
Ein bekannter Gegner mit wachsenden Fähigkeiten
Die Angriffe werden mit MuddyWater in Verbindung gebracht, auch bekannt als Mango Sandstorm, Static Kitten oder TA450. Diese Gruppe operiert mutmaßlich unter dem iranischen Ministerium für Nachrichtendienste und Sicherheit. MuddyWater ist mindestens seit 2017 aktiv und hat eine lange Geschichte von Spionage und destruktiven Aktionen, darunter frühere POWERSTATS-Kampagnen und der Einsatz der PowGoop-Ransomware während der Operation Quicksand.
Laut veröffentlichten Erkenntnissen verübt die Gruppe weiterhin Angriffe auf israelische Ziele, darunter lokale Behörden, Luftverkehr, Tourismus, Gesundheitswesen, Telekommunikationsnetze, IT-Anbieter und KMU.
Ihre sich wandelnde Strategie: Von Social Engineering bis zur Ausnutzung von VPN-Schwachstellen
Die Angreifer nutzen typischerweise Spear-Phishing-E-Mails und die Ausnutzung bekannter VPN-Schwachstellen, um sich Zugang zu verschaffen. Bisher beinhalteten diese Angriffe den Einsatz legitimer Fernwartungstools – ein typisches Merkmal der Operationen von MuddyWater. Seit Mai 2024 verwenden ihre Phishing-E-Mails jedoch eine unauffällige Hintertür namens BugSleep (auch MuddyRot genannt), was auf eine Verlagerung hin zu stärker individualisierten Tools hindeutet.
Das breitere Arsenal der Gruppe ist umfangreich und umfasst Blackout, AnchorRat, CannonRat, Neshta und das Sad C2-Framework, das die Verbreitung von Loadern wie TreasureBox und dem BlackPearl RAT unterstützt.
Phishing bleibt der erste Schritt
Die jüngste Angriffswelle beginnt weiterhin mit schädlichen E-Mails, die PDF-Anhänge enthalten. Diese PDFs verleiten die Opfer zum Herunterladen weit verbreiteter Fernwartungstools wie Atera, Level, PDQ und SimpleHelp. Sobald die Angreifer Zugriff auf das System erlangt haben, setzen sie spezialisiertere Komponenten ein.
Wir stellen Fooder und MuddyViper vor
Diese Kampagne nutzt prominent einen Loader namens Fooder, der die in C/C++ geschriebene Backdoor MuddyViper entschlüsselt und ausführt. Varianten von Fooder verbreiten außerdem go-socks5-Tunneling-Tools und das Open-Source-Tool HackBrowserData, um Browserdaten von zahlreichen Plattformen (mit Ausnahme von Safari) zu sammeln.
MuddyViper bietet umfassende Kontrolle und ermöglicht es Nutzern, Systemdetails zu sammeln, Dateien und Befehle auszuführen, Daten zu übertragen und abzufangen sowie Windows-Anmeldeinformationen und Browserinformationen zu stehlen. Es unterstützt 20 integrierte Befehle für einen verdeckten Zugriff. Einige Fooder-Varianten tarnen sich als das klassische Snake-Spiel und nutzen verzögerte Ausführung, um einer Entdeckung zu entgehen – eine Technik, die erstmals im September 2025 beobachtet wurde.
Weitere im Betrieb beobachtete Werkzeuge
Die Forscher dokumentierten außerdem den Einsatz mehrerer Hilfsprogramme, die für Persistenz, Zugangsdatendiebstahl und Datensammlung entwickelt wurden:
VAXOne – Eine Hintertür, die sich als Veeam, AnyDesk, Xerox oder OneDrive-Updater ausgibt.
CE-Notes – Ein Browser-Datendiebstahl-Tool, das die anwendungsgebundene Verschlüsselung von Chrome umgehen soll, indem es den lokalen Statusverschlüsselungsschlüssel stiehlt.
Blub – Ein AC/C++-Stealer, der Anmeldedaten von Chrome, Edge, Firefox und Opera sammelt.
LP-Notes – Ein AC/C++-Tool zum Sammeln von Anmeldeinformationen, das eine gefälschte Windows-Sicherheitsabfrage anzeigt, um Benutzer zur Eingabe ihrer Anmeldedaten zu verleiten.
Zusammenarbeit mit Lyceum: Es ergibt sich eine operative Überschneidung.
Die Untersuchung ergab, dass die Aktivitäten von MuddyWater sich mit den Operationen von Lyceum (auch bekannt als Hexane, Spirlin oder Siamesekitten) überschnitten, einer Untergruppe von OilRig (APT34), die seit mindestens 2018 in der regionalen Cyberspionage aktiv ist.
Bei den Anfang 2025 festgestellten Vorfällen agierte MuddyWater vermutlich als Erstzugangsvermittler in einem israelischen Produktionsunternehmen, indem es Fernwartungstools und einen angepassten Mimikatz-Loader einsetzte. Die gestohlenen Zugangsdaten wurden anschließend wahrscheinlich von Lyceum genutzt, um den Zugriff auszuweiten und die operative Kontrolle zu übernehmen.
Ein Zeichen zunehmender operativer Reife
Die Einführung neuer Komponenten, insbesondere des Fooder-Loaders und der MuddyViper-Hintertür, unterstreicht einen bemerkenswerten Fortschritt in der technischen und operativen Kompetenz von MuddyWater. Die Gruppe investiert eindeutig in unauffälligere Persistenzmechanismen, effizienteren Zugangsdatendiebstahl und umfassendere Aufklärungsfähigkeiten.
Die Kampagne unterstreicht die anhaltende und wachsende Bedrohung durch iranisch-nahe Cyberakteure. Deren Kombination aus maßgeschneiderter Schadsoftware, unauffälligen Loadern, legitimen Fernwartungstools und gruppenübergreifender Zusammenarbeit legt nahe, dass Organisationen in der Region erhöhte Wachsamkeit walten lassen und ihre Abwehrmaßnahmen gegen immer komplexere Angriffsstrategien verstärken müssen.
