O grupo de cibercriminosos iranianos Boggy Serpens, também conhecido como MuddyWater, escalou suas operações de ciberespionagem com táticas mais sofisticadas. Atribuído ao Ministério de Inteligência e Segurança do Irã (MOIS), o grupo tem como alvo missões diplomáticas, empresas de energia, operadores marítimos e instituições financeiras.
Descoberta e Escopo
Analistas da Unit 42 identificaram uma mudança decisiva no comportamento do grupo. Historicamente, o Boggy Serpens preferia operações de spear phishing de alto volume e barulhentas. No entanto, as campanhas recentes refletem uma evolução clara na estratégia e capacidade técnica, focando em persistência de longo prazo e comprometimento de relacionamentos confiáveis.
O grupo agora constrói implantes personalizados usando Rust, uma linguagem segura em memória que complica a engenharia reversa. Além disso, integrou inteligência artificial generativa em seu pipeline de desenvolvimento para produzir novas famílias de malware mais rapidamente.
Vetor e Exploração
A cadeia de infecção é construída sobre um modelo de dois estágios que explora tanto filtros automatizados quanto a confiança humana. O primeiro estágio depende de contas de e-mail legítimas sequestradas em agências governamentais ou corporações. Mensagens enviadas a partir dessas contas recebem um nível de confiança de spam negativo (SCL -1), permitindo que contornem filtros de spam.
O segundo estágio é ativado quando um alvo abre um arquivo anexado, geralmente um documento Word embaçado, um relatório financeiro Excel forjado ou uma passagem aérea falsa. O arquivo solicita que o usuário clique em "Habilitar Conteúdo". Quando isso acontece, uma macro VBA executa silenciosamente, libera um payload e, em seguida, remove o embaçamento para revelar um documento legítimo.
Impacto e Alcance
A campanha atingiu organizações em Israel, Hungria, Turquia, Arábia Saudita, Emirados Árabes Unidos, Turcomenistão, Egito e América do Sul. Um ataque de quatro ondas contra uma empresa marítima e de energia dos Emirados Árabes Unidos, ligada à Saudi Aramco, é o exemplo mais nítido da persistência do grupo.
Em agosto de 2025, o grupo explorou uma caixa de e-mail comprometida no Ministério das Relações Exteriores de Omã para enviar convites diplomáticos fabricados para embaixadas e organizações internacionais.
Setores Afetados
Os setores mais visados incluem governo, aviação, marítimo e financeiro. A menção à América do Sul no relatório indica que a região não está imune às operações do grupo, o que pode ter implicações para a conformidade com a LGPD caso dados de cidadãos brasileiros sejam exfiltrados.
Recomendações de Segurança
As organizações devem impor políticas estritas de execução de macros em todos os ambientes Microsoft Office e implantar monitoramento comportamental de endpoint capaz de detectar atividade de drop-and-execute. A autenticação multifator deve ser aplicada a todas as contas de e-mail para reduzir a exposição ao sequestro de contas.
O monitoramento regular de beaconing baseado em UDP, eventos de injeção de processo e modificações não padrão em chaves de registro pode ajudar a identificar infecções ativas antes que o acesso persistente se estabeleça completamente.