Сыграем в «Змейку»? Иранские хакеры нашли способ взломать через ностальгию

MuddyWater Mango Sandstorm TA450 ESET Lyceum кибершпионаж Иран
Сыграем в «Змейку»? Иранские хакеры нашли способ взломать через ностальгию
MuddyWater Mango Sandstorm TA450 ESET Lyceum кибершпионаж Иран

MuddyWater провела скрытую операцию против израильских организаций, задействовав новые инструменты и игровой маскарад.

image

Иранская группировка MuddyWater значительно обновила свой арсенал и тактику, проведя серию целевых атак против организаций в Израиле и одной компании в Египте. Специалисты ESET зафиксировали применение совершенно новых инструментов, среди которых выделяется загрузчик Fooder — он не только запускал вредоносный код, но и маскировался под классическую игру «Змейка», скрывая свой реальный функционал и сбивая с толку системы анализа. Эта кампания продемонстрировала необычную для MuddyWater скрытность и техническую зрелость.

По данным ESET, MuddyWater (также известная как Mango Sandstorm или TA450), одна из наиболее активных иранских APT-групп, в этот раз отказалась от привычной шумной тактики. Вместо ручных команд и грубого взаимодействия с заражёнными системами злоумышленники применили более точечный и аккуратный подход, делая упор на незаметное закрепление и кражу данных.

Ключевую роль сыграл новый загрузчик Fooder, написанный на C/C++. Он рефлективно загружал полезную нагрузку прямо в память, что снижало риск обнаружения. Несколько его вариантов маскировались под простую игру Snake: внутри кода присутствовали игровые строки, элементы интерфейса и даже логика циклов, имитирующая движение змейки. Эта маскировка выполняла двойную функцию — обманывала поверхностный анализ и одновременно обеспечивала длительные задержки в выполнении, что делало вредоносное поведение менее заметным для песочниц, рассчитанных на быстрые действия. Через Fooder в систему попадал новый бэкдор MuddyViper, способный выполнять команды, открывать реверс-шеллы, выгружать и загружать файлы, собирать системную информацию и красть учётные данные.

Помимо MuddyViper, в цепочке использовались и специализированные инструменты: воровщики CE-Notes и LP-Notes, браузерный stealer Blub, а также улучшенные reverse-туннели go-socks5. Исследователи отдельно отмечают необычную деталь — активное применение CNG, современного криптографического API Windows, что практически не встречается у других группировок, связанных с Ираном.

Операция длилась с сентября 2024 по март 2025 года. Её жертвами стали инженерные, производственные, транспортные, технологические и образовательные организации Израиля, а также один технологический объект в Египте. Дополнительным элементом кампании стало временное взаимодействие MuddyWater с другой иранской группой — Lyceum. После первичного взлома MuddyWater полученные учётные данные, как предполагается, были использованы Lyceum для дальнейшего проникновения в компанию из производственного сектора. Всё это указывает на роль MuddyWater как возможного брокера первоначального доступа.

Хотя MuddyWater давно известна простыми инструментами и предсказуемыми методами, текущая кампания показывает явный шаг вперёд: усложнение загрузчиков, применение маскировки под игровые приложения, использование расширенной криптографии и более продуманная архитектура атак. Тем не менее группа остаётся верной себе в выборе целей — госструктуры, критическая инфраструктура, телеком и другие стратегические отрасли.

По оценке ESET, MuddyWater продолжит развивать инструментарий и усиливать техническую сторону операций, проводя всё более тихие, изощрённые и многоуровневые атаки. Исследователи будут отслеживать дальнейшую эволюцию группы и появление новых компонентов в её арсенале.