Porte dérobée MuddyViper
Une récente vague d'activités d'espionnage a ciblé un large éventail d'organisations israéliennes dans les secteurs de l'enseignement supérieur, de l'ingénierie, des collectivités locales, de l'industrie, des technologies, des transports et des services publics. Cette opération, attribuée à des acteurs proches de l'État iranien, a introduit une porte dérobée jusqu'alors inconnue, baptisée MuddyViper, marquant une nouvelle escalade dans les tactiques du groupe. Une entreprise technologique basée en Égypte a également été prise pour cible. La campagne s'est déroulée de fin septembre 2024 à mi-mars 2025.
Table des matières
Un adversaire familier aux capacités croissantes
Ces attaques ont été attribuées à MuddyWater, également connu sous les noms de Mango Sandstorm, Static Kitten ou TA450, un groupe soupçonné d'opérer sous l'égide du ministère iranien du Renseignement et de la Sécurité. Actif depuis au moins 2017, MuddyWater est connu pour ses activités d'espionnage et ses actions destructrices, notamment les campagnes POWERSTATS et l'utilisation du ransomware PowGoop lors de l'opération Quicksand.
D'après les conclusions publiées, le groupe continue de frapper des cibles israéliennes touchant les autorités locales, le transport aérien, le tourisme, les services de santé, les réseaux de télécommunications, les fournisseurs de services informatiques et les PME.
Leur stratégie en constante évolution : de l’ingénierie sociale à l’exploitation des failles des VPN
L'acteur malveillant utilise généralement des courriels d'hameçonnage ciblés et exploite les vulnérabilités connues des VPN pour s'introduire dans les systèmes. Historiquement, ces intrusions impliquaient le déploiement d'outils d'administration à distance légitimes, une caractéristique des opérations de MuddyWater. Depuis mai 2024, cependant, leurs courriels d'hameçonnage contiennent une porte dérobée furtive appelée BugSleep (également connue sous le nom de MuddyRot), ce qui témoigne d'une évolution vers des outils plus personnalisés.
L'arsenal plus large du groupe est vaste et comprend Blackout, AnchorRat, CannonRat, Neshta et le framework Sad C2, qui aide à propager des chargeurs tels que TreasureBox et le BlackPearl RAT.
L’hameçonnage reste la première étape
La dernière vague d'attaques débute toujours par des courriels malveillants contenant des pièces jointes PDF. Ces fichiers PDF incitent les victimes à télécharger des outils de contrôle à distance largement utilisés tels qu'Atera, Level, PDQ et SimpleHelp. Une fois le système infecté, les attaquants déploient des composants plus spécialisés.
Présentation de Fooder et MuddyViper
Cette campagne met notamment en avant un chargeur nommé Fooder, conçu pour déchiffrer et exécuter la porte dérobée MuddyViper, écrite en C/C++. Des variantes de Fooder ont également été observées distribuant des utilitaires de tunnelage go-socks5 et l'outil open-source HackBrowserData afin de collecter des données de navigation sur de nombreuses plateformes (à l'exception de Safari).
MuddyViper offre un contrôle étendu, permettant aux opérateurs de collecter des informations système, d'exécuter des fichiers et des commandes, de transférer des données et de voler des identifiants Windows ainsi que des informations de navigation. Il prend en charge 20 commandes intégrées pour maintenir un accès dissimulé. Certaines variantes de Fooder se font passer pour le jeu Snake classique et utilisent l'exécution différée pour échapper à la détection, une technique repérée pour la première fois en septembre 2025.
Outils supplémentaires observés lors de l’opération
Les chercheurs ont également documenté le déploiement de plusieurs utilitaires de soutien conçus pour la persistance, le vol d'identifiants et la collecte de données :
VAXOne – Une porte dérobée se faisant passer pour Veeam, AnyDesk, Xerox ou le programme de mise à jour OneDrive.
CE-Notes – Un outil de vol de données de navigateur conçu pour contourner le chiffrement lié à l'application Chrome en volant la clé de chiffrement de l'état local.
Blub – Un voleur de comptes AC/C++ qui collecte les données de connexion de Chrome, Edge, Firefox et Opera.
LP-Notes – Outil de récupération d'identifiants AC/C++ qui affiche une fausse invite de sécurité Windows pour inciter les utilisateurs à saisir leurs informations de connexion.
Collaboration avec Lyceum : un chevauchement opérationnel se dessine
L'enquête a révélé que les activités de MuddyWater ont recoupé celles de Lyceum (également connu sous le nom de Hexane, Spirlin ou Siamesekitten), un sous-groupe d'OilRig (APT34) actif dans le cyberespionnage régional depuis au moins 2018.
Lors d'incidents survenus début 2025, MuddyWater a vraisemblablement servi d'intermédiaire pour accéder au système au sein d'une entreprise manufacturière israélienne, en déployant des outils de bureau à distance et un chargeur Mimikatz personnalisé. Les identifiants volés ont ensuite probablement été utilisés par Lyceum pour étendre son accès et prendre le contrôle opérationnel.
Un signe de maturité opérationnelle croissante
L'introduction de nouveaux composants, notamment le chargeur Fooder et la porte dérobée MuddyViper, témoigne d'une nette progression dans la sophistication technique et opérationnelle de MuddyWater. Le groupe investit manifestement dans des mécanismes de persistance plus furtifs, un vol d'identifiants plus efficace et des capacités de reconnaissance plus poussées.
Cette campagne souligne la menace persistante et croissante que représentent les cyberopérateurs liés à l'Iran. Leur combinaison de logiciels malveillants personnalisés, de chargeurs furtifs, d'outils d'administration à distance légitimes et de collaboration intergroupe indique que les organisations de la région doivent maintenir un niveau de vigilance élevé et renforcer leurs défenses face à des stratégies d'intrusion de plus en plus complexes.
