Operações ligadas ao grupo MuddyWater passaram a empregar um backdoor UDP‑based batizado de UDPGangster, usado em campanhas que atingem sistemas Windows em vários países do Oriente Médio.
Descoberta e escopo / O que mudou agora
Analistas da Fortinet identificaram campanhas ativas que distribuem o backdoor por documentos do Microsoft Word com macros maliciosos. As investigações apontam campanhas com vítimas relatadas na Turquia, Israel e Azerbaijão. O malware é entregue por anexos que dependem de usuários habilitarem macros para acionar a cadeia de infecção.
Vetor e exploração / Mitigações
O vetor primário documentado é o documento Word com macros: ao abrir e permitir macros, o evento Document_Open() inicia a execução do payload. O macro decodifica dados Base64 presentes em campos ocultos e grava um arquivo em C:\Users\Public\ui.txt, que é executado via API Windows (CreateProcessA), carregando o UDPGangster diretamente em memória.
O malware persiste copiando-se para %AppData%\RoamingLow\SystemProc.exe e adicionando entrada de inicialização do usuário, modificando a chave de registro relevante em HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders (valor Startup).
UDPGangster usa comunicação por UDP com servidores de comando e controle — amostras analisadas enviam dados para o IP 157.20.182.75 na porta UDP 1269. O uso de UDP facilita evasão de ferramentas de monitoramento que focam em conexões TCP e protocolos comuns.
Impacto e alcance / Setores afetados
O backdoor concede controle remoto completo: execução de comandos, exfiltração de arquivos e implantação de cargas adicionais. As campanhas estudadas utilizam engenharia social sofisticada (e‑mails que se passam por entidades governamentais) e documentos com conteúdos de isca direcionados a alvos locais, o que sugere foco em espionagem e coleta de informações.
Limites das informações / O que falta saber
A Fortinet relata técnicas extensas de anti‑análise incorporadas ao malware (nove técnicas distintas), mas não quantifica número de máquinas afetadas nem identifica vítimas corporativas nomeadas. Também não há, no relatório público, conectividade direta entre os IPs de C2 e infraestrutura maior atribuída a um operador específico além da associação ao grupo MuddyWater.
Repercussão / Próximos passos
Para detecção, os analistas recomendam bloquear ou inspecionar tráfego UDP suspeito, monitorar execuções originadas por documentos Office e vigiar alterações de inicialização em perfis de usuário. A Fortinet descreve mecanismos anti‑análise avançados nas amostras; equipes de resposta devem priorizar validação de macros em anexos e aplicar regras de bloqueio a domínios e IPs associados.
Fontes: Fortinet (relatório técnico analisado e sintetizado).