Um grupo de hackers apoiado pelo Estado iraniano passou dias dentro da rede de um grande fabricante sul-coreano de eletrônicos como parte de uma campanha mais ampla de ciberespionagem que tem como alvo organizações de vários países, segundo pesquisadores.
According to Symantec’s Threat Hunter Team , os ataques foram realizados pelo MuddyWater, também conhecido como Seedworm ou Static Kitten, um grupo de ameaça ligado ao Ministério da Inteligência e Segurança (MOIS) do Irã. Pesquisadores dizem que a operação teve como alvo pelo menos nove organizações na Ásia, Oriente Médio, Europa e América do Sul.
As vítimas teriam incluído agências governamentais, um aeroporto internacional no Oriente Médio, fabricantes industriais, empresas de serviços financeiros, instituições educacionais e uma grande empresa sul-coreana de eletrônicos cuja identidade não foi divulgada publicamente.
A Symantec afirma que os atacantes permaneceram dentro da rede do fabricante coreano por cerca de uma semana, entre 20 e 27 de fevereiro de 2026. Durante esse período, os hackers realizaram reconhecimento, capturaram capturas de tela, baixaram malwares adicionais, enumeraram ferramentas antivírus, roubaram credenciais e estabeleceram persistência dentro do ambiente.
A campanha dependeu fortemente do sideloading de DLLs, uma técnica em que aplicações legítimas assinadas são abusadas para carregar código malicioso. Pesquisadores descobriram que os atacantes usaram binários legítimos, incluindo o utilitário de áudio fmapp.exe da Fortemedia e o sentinelmemoryscanner.exe do SentinelOne para executar arquivos DLL maliciosos sem acionar defesas de segurança.
As DLLs maliciosas continham uma ferramenta pós-exploração chamada ChromE levator, malware projetado para roubar informações sensíveis armazenadas em navegadores baseados em Chromium, como Google Chrome o Microsoft Edge.
Pesquisadores também observaram uma extensa atividade do PowerShell durante os ataques. Os scripts eram usados para reconhecimento do sistema, coleta de capturas de tela, roubo de credenciais, persistência e criação de túneis proxy SOCKS5 que permitiam aos atacantes direcionar o tráfego por sistemas comprometidos. Diferente de algumas campanhas anteriores do MuddyWater, as cargas úteis PowerShell eram controladas por carregadores baseados em Node.js.
A Symantec acredita que a campanha foi orientada pela inteligência e não por motivos financeiros. Os pesquisadores disseram que os atacantes parecem focados em espionagem industrial, roubo de propriedade intelectual e acesso a redes corporativas downstream conectadas às organizações comprometidas.
Outro detalhe notável foi o uso pelos atacantes de serviços públicos de transferência de arquivos baseados em nuvem para misturar atividades maliciosas com tráfego normal de rede. A exfiltração de dados teria ocorrido por meio de sendit.sh, ajudando a operação a evitar a detecção ao parecer semelhante ao uso legítimo da nuvem.
A MuddyWater já foi ligada a campanhas de espionagem voltadas contra empresas de telecomunicações, contratantes de defesa, agências governamentais e operadores de infraestrutura em todo o Oriente Médio e Ásia. O Comando Cibernético dos EUA e o FBI atribuíram publicamente várias operações passadas ao grupo.