Een door de Iran door de staat gesteunde hackgroep bracht dagen door in het netwerk van een grote Zuid-Koreaanse elektronicafabrikant als onderdeel van een bredere cyberspionagecampagne die zich richtte op organisaties in meerdere landen, zeggen onderzoekers.
According to Symantec’s Threat Hunter Team , werden de aanvallen uitgevoerd door MuddyWater, ook bekend als Seedworm of Static Kitten, een dreigingsgroep die verbonden is aan het Iraanse Ministerie van Inlichtingen en Veiligheid (MOIS). Onderzoekers zeggen dat de operatie zich richtte op minstens negen organisaties in Azië, het Midden-Oosten, Europa en Zuid-Amerika.
De slachtoffers zouden onder andere overheidsinstanties, een internationale luchthaven in het Midden-Oosten, industriële fabrikanten, financiële dienstverleners, onderwijsinstellingen en een groot Zuid-Koreaans elektronicabedrijf zijn geweest waarvan de identiteit niet openbaar werd gemaakt.
Symantec zegt dat de aanvallers ongeveer een week tussen 20 en 27 februari 2026 binnen het netwerk van de Koreaanse fabrikant bleven. In die tijd voerden de hackers verkenningen uit, maakten screenshots, downloadden extra malware, somden antivirustools op, stalen inloggegevens en vestigden persistentie binnen de omgeving.
De campagne maakte sterk gebruik van DLL-sideloading, een techniek waarbij legitieme ondertekende applicaties worden misbruikt om kwaadaardige code te laden. Onderzoekers ontdekten dat de aanvallers legitieme binaire bestanden gebruikten, waaronder Fortemedia’s fmapp.exe audio-programma en SentinelOne’s sentinelmemoryscanner.exe om kwaadaardige DLL-bestanden uit te voeren zonder beveiligingsbeveiligingen te activeren.
De kwaadaardige DLL’s bevatten een post-exploitatietool genaamd ChromE levator, malware ontworpen om gevoelige informatie te stelen die was opgeslagen in Chromium-gebaseerde browsers zoals Google Chrome Microsoft Edge.
Onderzoekers observeerden ook uitgebreide PowerShell-activiteit tijdens de aanvallen. De scripts werden gebruikt voor systeemverkenning, het verzamelen van screenshots, het stelen van inloggegevens, persistentie en het creëren van SOCKS5-proxytunnels waarmee aanvallers verkeer door gecompromitteerde systemen konden leiden. In tegenstelling tot sommige eerdere MuddyWater-campagnes werden de PowerShell-payloads aangestuurd via Node.js-gebaseerde loaders.
Symantec gelooft dat de campagne inlichtingengericht was in plaats van financieel gemotiveerd. De onderzoekers zeiden dat de aanvallers zich leken te richten op industriële spionage, diefstal van intellectueel eigendom en het verkrijgen van toegang tot downstream bedrijfsnetwerken die verbonden zijn met de gecompromitteerde organisaties.
Een ander opmerkelijk detail was het gebruik van publieke cloudgebaseerde bestandsoverdrachtdiensten door de aanvallers om kwaadaardige activiteiten te combineren met normaal netwerkverkeer. Data-exfiltratie vond naar verluidt plaats via sendit.sh, waardoor de operatie niet werd ontdekt doordat het leek op legitiem cloudgebruik.
MuddyWater is eerder in verband gebracht met spionagecampagnes gericht op telecommunicatiebedrijven, defensieaannemers, overheidsinstanties en infrastructuuroperators in het Midden-Oosten en Azië. US Cyber Command en de FBI hebben publiekelijk verschillende eerdere operaties aan de groep toegeschreven.