Un grupo de hackers respaldado por el Estado iraní pasó días dentro de la red de un importante fabricante surcoreano de electrónica como parte de una campaña más amplia de ciberespionaje dirigida a organizaciones de varios países, según investigadores.
According to Symantec’s Threat Hunter Team , los ataques fueron llevados a cabo por MuddyWater, también conocido como Seedworm o Static Kitten, un grupo de amenaza vinculado al Ministerio de Inteligencia y Seguridad (MOIS) de Irán. Los investigadores afirman que la operación tuvo como objetivo al menos nueve organizaciones en Asia, Oriente Medio, Europa y Sudamérica.
Las víctimas incluyeron, según se informa, agencias gubernamentales, un aeropuerto internacional en Oriente Medio, fabricantes industriales, empresas de servicios financieros, instituciones educativas y una importante empresa surcoreana de electrónica cuya identidad no fue revelada públicamente.
Symantec afirma que los atacantes permanecieron dentro de la red del fabricante coreano durante aproximadamente una semana, entre el 20 y el 27 de febrero de 2026. Durante ese tiempo, los hackers realizaron reconocimiento, capturaron capturas de pantalla, descargaron malware adicional, enumeraron herramientas antivirus, robaron credenciales y establecieron persistencia dentro del entorno.
La campaña se basó en gran medida en la carga lateral de DLL, una técnica en la que se abusan de aplicaciones legítimas firmadas para cargar código malicioso. Los investigadores descubrieron que los atacantes usaban binarios legítimos, incluyendo la utilidad de audio fmapp.exe de Fortemedia y la sentinelmemoryscanner.exe de SentinelOne para ejecutar archivos DLL maliciosos sin activar defensas de seguridad.
Las DLLs maliciosas contenían una herramienta post-explotación llamada ChromE levator, malware diseñado para robar información sensible almacenada en navegadores basados en Chromium como Google Chrome Microsoft Edge.
Los investigadores también observaron una actividad extensa de PowerShell durante los ataques. Los scripts se usaron para reconocimiento del sistema, recogida de capturas de pantalla, robo de credenciales, persistencia y la creación de túneles proxy SOCKS5 que permitían a los atacantes enrutar el tráfico a través de sistemas comprometidos. A diferencia de algunas campañas anteriores de MuddyWater, las cargas útiles PowerShell se controlaban mediante cargadores basados en Node.js.
Symantec considera que la campaña se basó en la inteligencia más que en el financiamiento. Los investigadores dijeron que los atacantes parecían centrados en espionaje industrial, robo de propiedad intelectual y acceso a redes corporativas posteriores conectadas a las organizaciones comprometidas.
Otro detalle notable fue el uso por parte de los atacantes de servicios públicos de transferencia de archivos basados en la nube para mezclar actividad maliciosa con tráfico de red normal. Se informa que la exfiltración de datos se produjo a través de sendit.sh, ayudando a que la operación evitara la detección al parecer similar al uso legítimo de la nube.
MuddyWater ha estado vinculada anteriormente a campañas de espionaje dirigidas a empresas de telecomunicaciones, contratistas de defensa, agencias gubernamentales y operadores de infraestructuras en Oriente Medio y Asia. El Mando Cibernético de EE. UU. y el FBI han atribuido públicamente varias operaciones pasadas al grupo.