Доверие в сети официально мертво — MuddyWater захватывают почту дипломатов, чтобы рассылать вирусы от имени ваших коллег

Иранская группа Boggy Serpens, более известная под именем MuddyWater, за последний год заметно изменила стиль работы. Если ранние кампании ассоциировались в первую очередь с массовым фишингом, шумными рассылками и сравнительно простыми приемами, то теперь перед аналитиками уже другой противник. Группа по-прежнему делает ставку на социальную инженерию, но добавила к ней более аккуратное закрепление в сети, новые вредоносные инструменты и даже признаки разработки с помощью генеративного ИИ. Особую тревогу вызывает и выбор целей: в фокусе остаются дипломатические структуры и критически важные отрасли, включая энергетику, морскую инфраструктуру и финансы.

Boggy Serpens связывают с Министерством разведки и безопасности Ирана. Активность группы прослеживается как минимум с 2017 года. За годы работы операторы атаковали государственные структуры, военные организации и компании из чувствительных отраслей на Ближнем Востоке, в Закавказье, Центральной и Западной Азии, Южной Америке и Европе. Однако в новых операциях особенно заметен сдвиг от грубого давления к более терпеливому и целенаправленному проникновению.

Исследователи отмечают, что главным элементом стратегии стала компрометация доверенных связей. Вместо того чтобы ломиться через внешний периметр с подозрительных адресов и очевидных вредоносных доменов, злоумышленники все чаще захватывают легитимные внутренние учетные записи и уже с них рассылают вредоносные письма. Такая схема дает сразу несколько преимуществ. Письмо приходит от знакомого отправителя, проходит через часть фильтров доверия и выглядит для жертвы как нормальная внутренняя переписка. На следующем этапе в дело вступает второй слой обмана - документ с убедительной легендой, который должен подтолкнуть сотрудника к запуску вредоносного кода.

За последний год группа использовала такой подход более чем в 15 атаках по всему миру. Один из заметных эпизодов произошел в августе 2025 года, когда злоумышленники воспользовались скомпрометированным почтовым ящиком Министерства иностранных дел Омана и рассылали через него документы в другие внешнеполитические ведомства. Сообщения маскировались под официальную дипломатическую переписку. В другом случае, уже 6 января 2026 года, атакующие провели точечную операцию против крупного телеком-провайдера в Туркменистане. Для рассылки файла Cybersecurity.doc использовалась внутренняя учетная запись компании. Похожая схема применялась и в ноябре 2025 года против израильских организаций, где группа через захваченные внутренние ящики распространяла приманки под видом приглашений на вебинар и кадровых документов.

Проблема для защитников в такой схеме вполне конкретная. Когда письмо уходит из подлинного внутреннего аккаунта, спам-фильтры часто не видят в нем типичный мусор. В исследовании приводится показатель SCL -1 для таких сообщений. Такой уровень доверия фактически помогает письму пройти мимо стандартной фильтрации, потому что система считает отправителя аутентифицированным и легитимным.

Фишинговые документы у Boggy Serpens тоже изменились. Группа все заметнее уходит от универсальных приманок к письмам и вложениям, заточенным под конкретный отдел, должность или рабочий контекст. Особенно хорошо такой подход виден на примере кампании против национальной морской и энергетической компании в ОАЭ. За период с августа 2025 года по февраль 2026 года исследователи зафиксировали четыре отдельные волны атак против одной и той же организации. Такой уровень настойчивости говорит не о случайной попытке, а о целенаправленном задании по проникновению в региональную морскую и инженерную инфраструктуру.

Первая волна прошла 16 августа 2025 года и была нацелена на инженеров проектов. Вредоносный документ использовал профильную лексику, связанную с подводными трубопроводами. Сам файл выглядел размытым, чтобы жертва нажала кнопку Enable Content и тем самым активировала встроенный макрос. Прием старый, но до сих пор рабочий: сотрудник видит будто бы испорченный документ, получает понятное визуальное объяснение проблемы и сам запускает вредоносный код, надеясь просто открыть содержимое.

Вторая волна, зафиксированная 30 января 2026 года, уже била по финансовому и логистическому контуру. На этот раз злоумышленники использовали Excel-файл, имитирующий внутренние финансовые записи компании. В приманке фигурировали ссылки на Engineering, Construction & Marine Services, местную валюту AED и вполне правдоподобные коды операций вроде Payroll Payments via WPS. То есть документ не просто выглядел бухгалтерским - он был наполнен такими деталями, которые делали вложение естественным для сотрудника финансового или снабженческого блока.

В тот же день прошла и третья волна, но уже по персонализированной схеме. Атакующие отправили одному из связанных с компанией людей поддельное подтверждение бронирования рейса Air Arabia в формате Word-документа. В приманке были указаны имя пассажира, маршрут полета и категория Corporate Fare. Такой уровень детализации вряд ли появился случайно. Исследователи считают, что данные могли быть собраны при предыдущем компрометировании, например через украденные письма, служебные маршруты или внутренние документы. Особенно показательно, что авиабилет прислали именно как Word-файл, а не как обычный PDF. Социальная инженерия в таком письме выглядела качественно, но технический способ доставки создавал лишний повод насторожиться у внимательного пользователя или автоматической песочницы. В этой волне группа разворачивала новое вредоносное семейство GhostBackDoor, ранее описанное Group-IB.

Четвертая волна последовала 11 февраля 2026 года. На этот раз в ход пошел Excel-файл с названием Consumption Report (Jan 21 2025 - Feb 20 2026).xls. Общая схема с приманкой и макросами оставалась узнаваемой, но на финальном этапе заражения группа уже доставляла другой полезный нагрузочный модуль - семейство Nuso. Речь идет о собственном HTTP-бэкдоре, который используется для разведки и удаленного выполнения команд и при этом заметно отличается по внутренней логике от более ранних инструментов Boggy Serpens.

Nuso интересен сразу по нескольким причинам. Вместо обычной таблицы импорта, через которую программы Windows обычно получают адреса нужных API-функций, вредонос динамически вычисляет такие адреса в процессе работы. Для аналитика и средства защиты такой прием неудобен, потому что код становится менее прозрачным. Еще более необычно выглядит управление через HTTP-коды ответа. В обычном веб-трафике коды 200, 404 или 500 просто описывают состояние запроса. У Nuso такие значения превращаются в команды. Например, 201 и 204 запускают удаленную оболочку, 210 и 222 меняют интервал опроса командного сервера, а 350 и 404 останавливают выполнение. Системная информация при этом отправляется по HTTP или HTTPS, но упаковывается в нестандартные заголовки вроде X-Computer-Name и X-Username, причем с дополнительными преобразованиями.

По метаданам отладочных PDB-путей исследователи проследили и эволюцию Nuso. Во второй и третьей версиях фигурирует профиль пользователя nuso, а в именах файлов заметен переход от ошибочного Analyzor к более корректному Analyser. Мелочь на первый взгляд, но для атрибуции такой след полезен: он намекает на одного и того же разработчика, который поддерживает и дорабатывает кодовую базу со временем.

Помимо Nuso в арсенале Boggy Serpens фигурируют Phoenix, UDPGangster, BlackBeard и LampoRAT. Исследование показывает, что группа ведет параллельные линии разработки и не держится за один инструмент. Такой подход повышает устойчивость кампаний: если один трек засветился и часть индикаторов попала в базы детектирования, другой может продолжить работу.

Отдельного внимания заслуживает платформа массовой почтовой рассылки, которую операторы развернули на собственной инфраструктуре. 3 октября 2025 года на IP-адресе 157.20.182[.]75 аналитики обнаружили веб-интерфейс Python-сервера на порту 5000. Через него можно было загружать списки адресатов, задавать адрес отправителя, тему письма, HTML-тело сообщения, параметры SMTP-сервера, прикреплять вложения, просматривать результат и запускать отправку. Такой инструмент показывает, что фишинг у группы давно перестал быть кустарной работой из одного почтового клиента. Перед нами уже полноценная оркестрация рассылок с тонкой настройкой под конкретные кампании.

Если говорить о вредоносных документах, то у группы сложилась двухступенчатая схема обмана. Сначала атакующие захватывают внутреннюю или доверенную учетную запись, чтобы жертва не заподозрила подвох по отправителю. Затем открывается вложение, где пользователя подталкивают к еще одному действию - нажать Enable Content или Enable Editing. Документ специально показывается размытым и сопровождается сообщением, будто файл создан в старой версии Word или Excel. Как только человек активирует макрос, оверлей исчезает, документ становится читаемым, а вредоносная нагрузка параллельно запускается в фоне. Момент с мгновенным "исправлением" документа работает как психологическая маскировка: пользователь видит, что проблема якобы решилась, и реже задумывается о том, что внутри уже пошла следующая стадия заражения.

Форензика показала, что за такими документами стоит устойчивый VBA-билдер, который группа использует не первый раз. Исследователи выделяют две линии развития: Phoenix Lineage, где доставляются полнофункциональные бэкдоры, и UDPGangster Operations, где применяются более легкие и простые импланты. Несмотря на разницу в полезной нагрузке, между треками нашли важные пересечения - одинаковый ключ расшифровки и один и тот же путь novaservice.exe. Такой набор совпадений связывает оба направления с общей командой разработки.

В ранних вариантах макросов полезная нагрузка пряталась не прямо в коде, а в свойствах элементов интерфейса, например в UserForm1.TextBox1, в виде шестнадцатеричной строки. Затем скрипт извлекал и декодировал содержимое, записывал файл под безобидным расширением .log или .txt, быстро переименовывал в .exe и запускал через Windows API. Такой прием помогает обойти часть простых проверок записи исполняемого файла. Более поздние версии добавили собственные шифры, запуск через WMI или CreateProcessW вместо стандартных оболочек, а также примитивные, но действенные задержки. Один из вариантов, например, гонял процессор более чем по 100 миллионам операций через вложенные математические циклы. Для человека такой код ничего не меняет, а вот автоматическая песочница может просто устать ждать и завершить анализ раньше, чем вредонос перейдет к следующему этапу.

UDPGangster работает параллельно и тоже пришел в кампании через документы Microsoft Office с VBA-макросами. Главная особенность семейства - связь по UDP вместо более привычного HTTP или HTTPS. Такой протокол часто хуже вписывается в типовые модели сетевого контроля и позволяет строить более нестандартное управление. Вредонос умеет принимать команды, красть данные и подгружать новые модули. Плюс к этому он содержит антианалитические проверки, чтобы не запускаться в исследовательской среде.

По PDB-путям исследователи смогли связать отдельные варианты UDPGangster с конкретными географиями и секторами. Один образец указывал на авиацию в Израиле и содержал путь с профилем gangster. Другой связывался с финансовым сектором Азербайджана и содержал профиль piper. Третий относился к телеком-сектору Израиля и содержал имя surge. Такая детализация не доказывает все сама по себе, но дает редкий взгляд на внутреннюю организацию кампаний и то, как разработчики или операторы маркируют сборки под разные задачи.

Особенно ценной частью исследования стало наблюдение за живой активностью оператора внутри контролируемой тестовой среды. Примерно через 12 часов после установления первых heartbeat-соединений с командным сервером злоумышленник начал вручную взаимодействовать с симулированной жертвой. Около 07:30 по CST, что соответствует 17:00 по тегеранскому времени, на узел пришла команда с префиксом байта 0x0A. Она создала именованный канал, через который затем запускалась оболочка. Дальше последовала ручная разведка: nslookup ad, ipconfig /all, просмотр каталогов C:\users и рабочего стола конкретного пользователя, команда Quser. Последовательность показывает важную вещь: после автоматического заражения к делу подключается человек, который в реальном времени оценивает ценность хоста, а не просто доверяет заранее прописанному скрипту. Исследователи также заметили пакет с байтом 0x0B, для которого в анализируемой версии вредоноса не нашлось функции. Возможны два объяснения - либо оператор ошибся при вводе, либо в работе участвовала другая сборка с отличающимся набором команд.

Еще один новый инструмент в наборе группы - LampoRAT, также известный как Olalampo. Речь идет о трояне удаленного доступа на Rust, который применялся в недавней кампании против морской и энергетической компании из ОАЭ. Образец маскировался под avp.exe, то есть под процесс Kaspersky Anti-Virus, и даже содержал строку Kaspersky в метаданных файла. По функциям LampoRAT не выглядит перегруженным монстром. По сути, перед нами облегченный исполнитель командной оболочки. После заражения программа выходит к жестко заданному токену Telegram-бота, ждет команду, передает ее в диспетчер и запускает через строку cmd.exe /e:ON /v:OFF /d /c <payload>. Результат затем возвращается в чат злоумышленника через Telegram Bot API.

Такой канал управления удобен сразу по двум причинам. Во-первых, вредоносный трафик смешивается с обычным HTTPS-трафиком к Telegram. Во-вторых, атакующим не нужно поднимать весь стек своей инфраструктуры для каждой мелкой команды. Интересно и имя самого бота: stager_51_bot. В наступательных операциях stager обычно означает легкий начальный модуль, который должен закрепиться и затем подтянуть другие компоненты. Число 51 может указывать на серию подобных ботов, распределенных по кампаниям или целям.

В LampoRAT аналитики нашли и еще один любопытный след - возможное использование генеративного ИИ при разработке. В командном диспетчере присутствуют строки с эмодзи вроде ✅ CD to и ❌ CD error:. Для типичного вредоносного кода такой стиль нехарактерен. Авторы малвари обычно выбирают простые ASCII-маркеры вроде [+] или ERROR:, чтобы избежать лишней уникальности и проблем с отображением. Зато крупные языковые модели при генерации интерфейсов командной строки или Telegram-ботов действительно часто вставляют визуальные значки по умолчанию. Для исследователей такой артефакт стал сильным косвенным признаком того, что Boggy Serpens использует генеративный ИИ, чтобы быстрее собирать новые варианты вредоносных инструментов.

Переход на Rust виден и в BlackBeard - еще одном бэкдоре группы. Израильское Национальное киберуправление уже отслеживало этот инструмент как отдельное семейство. Выбор Rust здесь важен не ради моды. Язык с безопасной работой с памятью усложняет часть типовых приемов реверса и одновременно помогает быстрее выпускать новые сборки. В случае BlackBeard промежуточный загрузчик на C++ уже содержит следы, связывающие его с линейкой Phoenix. Затем загрузчик расшифровывает финальный Rust-пейлоад через XOR-ключ и запускает его в памяти с помощью process hollowing, когда вредоносный код помещают внутрь легитимного процесса.

Финальная нагрузка BlackBeard сначала сканирует каталог %PROGRAMDATA% в поисках более 15 защитных продуктов. Затем вредонос связывается с доменом stratioai[.]org через Rust-библиотеку reqwest, шифрует системные данные AES-256-GCM и передает их в HTTP-заголовке Expires. Команды снова передаются через HTTP-коды. Значения 201 и 202 заставляют вредонос выгрузить расшифрованный контент в C:\ProgramData\WebDeepPlayer.scr, а код 418 завершает работу. Закрепление организовано через фиктивное расширение .wdlp в реестре HKCU\Software\Classes.wdlp, которое привязывается к WebDeepPlayer.scr. После этого достаточно файла Oregon.wdlp в автозагрузке, чтобы заражение восстанавливалось после перезагрузки.

Общий вывод из всего отчета выглядит довольно жестко. Boggy Serpens уже нельзя описывать как группу, которая берет исключительно количеством писем и простотой приемов. За последний год операторы заметно подтянули техническую часть, выстроили параллельные линии разработки, начали использовать Rust, добавили признаки ИИ-ускорения, расширили инфраструктуру массовых рассылок и сделали ставку на компрометацию доверенных отношений. При этом цели остаются стратегическими - дипломатия, энергетика, морская логистика, финансы, авиация, телеком.

Такой профиль особенно опасен тем, что группа умеет сочетать три вещи, которые по отдельности уже создают серьезный риск. Первая - правдоподобная социальная инженерия с точной подгонкой под отдел, должность и рабочий контекст. Вторая - скрытные и гибкие вредоносные инструменты, рассчитанные на долгую жизнь в сети. Третья - захват легитимных учетных записей, который ломает привычную логику доверия в корпоративной почте. Пока компания полагается только на репутацию отправителя и базовые спам-фильтры, такая схема будет работать.

Поэтому защита от Boggy Serpens требует смотреть глубже. Оценивать придется не только адрес отправителя, но и поведенческие аномалии, цепочки процессов, запуск макросов, запись и переименование файлов, инъекции в память, подозрительные связи по UDP и нестандартные HTTP-сценарии. Иначе следующий этап заражения успеет отработать раньше, чем инфраструктура вообще поймет, что письмо выглядело подозрительно.