Un gruppo di hacker sostenuto dallo Stato iraniano ha trascorso giorni all’interno della rete di un importante produttore sudcoreano di elettronica come parte di una più ampia campagna di cyberspionaggio che prende di mira organizzazioni di diversi paesi, secondo i ricercatori.
According to Symantec’s Threat Hunter Team , gli attacchi sono stati compiuti da MuddyWater, noto anche come Seedworm o Static Kitten, un gruppo minaccioso legato al Ministero dell’Intelligence e della Sicurezza (MOIS) iraniano. I ricercatori affermano che l’operazione ha preso di mira almeno nove organizzazioni in Asia, Medio Oriente, Europa e Sud America.
Le vittime avrebbero incluso agenzie governative, un aeroporto internazionale in Medio Oriente, produttori industriali, aziende di servizi finanziari, istituzioni educative e una grande azienda sudcoreana di elettronica la cui identità non è stata resa pubblica.
Symantec afferma che gli aggressori sono rimasti all’interno della rete del produttore coreano per circa una settimana, tra il 20 e il 27 febbraio 2026. Durante quel periodo, gli hacker hanno effettuato ricognizioni, catturato screenshot, scaricato ulteriori malware, elencato strumenti antivirus, rubato credenziali e stabilito la persistenza all’interno dell’ambiente.
La campagna si è basata fortemente sul sideloading delle DLL, una tecnica in cui applicazioni legittime firmate vengono abusate per caricare codice malevolo. I ricercatori hanno scoperto che gli attaccanti utilizzavano binari legittimi, tra cui l’utilità audio fmapp.exe di Fortemedia e la sentinelmemoryscanner.exe di SentinelOne per eseguire file DLL dannosi senza attivare le difese di sicurezza.
Le DLL dannose contenevano uno strumento post-exploitation chiamato ChromE levator, malware progettato per rubare informazioni sensibili memorizzate in browser basati su Chromium come Google Chrome Microsoft Edge.
I ricercatori hanno inoltre osservato un’estesa attività PowerShell durante gli attacchi. Gli script venivano utilizzati per la ricognizione di sistema, la raccolta di screenshot, il furto di credenziali, la persistenza e la creazione di tunnel proxy SOCKS5 che permettevano agli attaccanti di instradare il traffico attraverso sistemi compromessi. A differenza di alcune precedenti campagne MuddyWater, i carichi utili PowerShell erano controllati tramite caricatori basati su Node.js.
Symantec ritiene che la campagna fosse guidata dall’intelligence piuttosto che finanziaria. I ricercatori hanno detto che gli aggressori sembravano concentrarsi su spionaggio industriale, furto di proprietà intellettuale e accesso a reti aziendali a valle collegate alle organizzazioni compromesse.
Un altro dettaglio degno di nota è stato l’uso da parte degli attaccanti di servizi di trasferimento file cloud pubblici per mescolare attività malevole con traffico di rete normale. L’esfiltrazione dei dati sarebbe avvenuta tramite sendit.sh, aiutando l’operazione a evitare il rilevamento apparendo simile all’uso legittimo del cloud.
MuddyWater è stata precedentemente collegata a campagne di spionaggio rivolte a società di telecomunicazioni, appaltatori della difesa, agenzie governative e operatori infrastrutturali in Medio Oriente e Asia. Il Comando Cyber USA e l’FBI hanno pubblicamente attribuito diverse operazioni passate al gruppo.