Иранские хакеры MuddyWater провели кампанию на четырех континентах

Группировка MuddyWater, которую связывают с иранскими государственными структурами, вышла на новый уровень масштабности. Согласно отчетам аналитиков из Symantec и Carbon Black, с начала 2026 года хакеры развернули кампанию, охватившую девять крупных организаций в девяти странах на четырех континентах. В списке целей оказались производитель электроники из Южной Кореи, международный аэропорт на Ближнем Востоке, ряд промышленных предприятий Юго-Восточной Азии и финансовая компания в Латинской Америке.

Техники обхода защиты через легитимное ПО

В своей работе злоумышленники делают ставку на метод DLL Sideloading (побочная подгрузка библиотек). Суть проста: хакеры используют исполняемые файлы с валидными цифровыми подписями, что позволяет им «обмануть» системы безопасности. В текущей кампании были замечены файлы `fmapp.exe` (от Fortemedia) и `sentinelmemoryscanner.exe` (от SentinelOne). При запуске эти доверенные приложения подтягивают вредоносные DLL-библиотеки: `fmapp.dll` и `sentinelagentcore.dll` соответственно.Этот подход частично перекликается с операцией Olalampo, которую ранее фиксировали в Group-IB. По данным Huntress, библиотека `fmapp.dll` содержит конфигурацию для связи с сервером атакующих (157.20.182[.]49). Использование системных утилит безопасности, таких как сканеры памяти, позволяет хакерам эффективно маскироваться под доверенные процессы, обходя привычное сигнатурное обнаружение.

Инструментарий: от кражи данных до Node.js

Обе вредоносные библиотеки, о которых идет речь, несут в себе полезную нагрузку — инструмент с открытым исходным кодом ChromElevator. Если коротко, это софт для извлечения учетных данных из браузеров на базе Chromium: паролей, файлов cookie и информации о платежных картах.Еще одна важная деталь — применение среды Node.js. С ее помощью злоумышленники запускают скрипты PowerShell для разведки сети. На практике это выглядит следующим образом: через импланты `node.exe` в системе выполняется ряд задач, включая создание скриншотов, кражу SAM-файла (хранилища паролей Windows), повышение прав и организацию туннелирования через SOCKS5-прокси. В ряде случаев для выгрузки украденных данных участники MuddyWater использовали публичный сервис передачи файлов `sendit.sh`.Аналитики подчеркивают, что, несмотря на проверенные временем и широко известные методы, компетенция операторов MuddyWater заметно выросла. Им приходится иметь дело с гораздо более изощренными средствами защиты, чем это было несколько лет назад, что заставляет группировку постоянно совершенствовать как цепочки доставки вредоносного кода, так и способы закрепления внутри критической инфраструктуры. В случае с южнокорейским производителем электроники хакеры удерживали контроль над сетью не менее недели, постоянно проводя разведку и обеспечивая устойчивость своего присутствия.