MuddyWater — também conhecido por Mango Sandstorm — conduziu uma campanha dirigida contra infraestrutura crítica em Israel e Egito, usando ferramentas customizadas como o loader "Fooder" e o backdoor "MuddyViper", segundo análise publicada por pesquisadores de segurança.
Panorama e escopo
A campanha, ativa entre setembro de 2024 e março de 2025, concentrou-se em setores como engenharia, utilities, governos locais e tecnologia. As observações apontam uma mudança operacional do grupo: ataques menos ruidosos, com foco em furtividade e manutenção de acesso prolongado.
Vetor e abordagem técnica
O vetor inicial identificado foi spearphishing com links para instaladores que simulam ferramentas legítimas de Remote Monitoring and Management (RMM) — exemplos citados incluem Atera, Syncro e PDQ — hospedados em serviços de compartilhamento de arquivos gratuitos para reduzir suspeitas.
O componente "Fooder" é um loader em C++ que carregaria refletivamente o backdoor MuddyViper diretamente em memória. Detalhes técnicos revelados pelos pesquisadores incluem:
- uso de caminhos PDB internos (ex.: C:\Users\win\Desktop\Fooder\Debug\Launcher.pdb) que ajudaram a identificação;
Impacto e setores afetados
Os alvos incluem organizações de infraestrutura crítica em Israel e Egito, com impacto focado em engenharia, serviços essenciais e administrações locais. O perfil de ataque — uso de RMM falso e ferramentas in-memory — favorece coleta de credenciais e exfiltração silenciosa, permitindo manutenção de acesso sem ações óbvias de hands-on-keyboard.
Limites das informações
As análises não apresentam uma lista pública de vítimas identificadas individualmente nem indicadores de compromisso exaustivos no resumo disponibilizado. Também não há atribuição política além da ligação genérica ao cluster MuddyWater/Mango Sandstorm conforme nomenclatura de fontes de inteligência.
Recomendações para defesa
- Reforçar controles antifishing e filtros de e-mail, especialmente contra mensagens com links para instaladores hospedados em serviços terceiros;
- Controlar o uso de ferramentas RMM e validar assinaturas e origens de instaladores antes da execução;
- Monitorar processos que carregam código refletivamente em memória e registrar anomalias em execuções de bibliotecas criptográficas ou operações in-memory AES;
- Aplicar segmentação de rede e restringir privilégios de contas de serviço para limitar pivoting e exfiltração.
O que resta apurado
As fontes descrevem as técnicas observadas e os componentes (Fooder, MuddyViper) e apontam para um salto de sofisticação. Entretanto, falta publicar IoCs completos, detalhes de infraestrutura C&C e atribuições operacionais que permitam correlacionar incidentes adicionais com a campanha.
Pesquisa citada foi relatada por analistas de segurança (WeLiveSecurity) e posteriormente sumarizada por veículos de imprensa especializados.