El grupo de hacking MuddyWater, vinculado a Irán, lanzó una campaña de ciberespionaje contra nueve organizaciones globales, incluyendo un gigante electrónico surcoreano y agencias gubernamentales. Utilizaron técnicas de *DLL sideloading* y herramientas legítimas para robar propiedad intelectual, credenciales y datos de navegadores. Symantec destaca la madurez operativa del grupo y su capacidad para evadir detecciones mediante ataques más silenciosos y sofisticados.



El grupo de hacking vinculado a Irán MuddyWater (también conocido como Seedworm, Static Kitten) lanzó una amplia campaña de ciberespionaje dirigida a al menos nueve organizaciones de alto perfil en múltiples sectores y países.

Entre las víctimas se encuentran un importante fabricante de electrónica de Corea del Sur, agencias gubernamentales, un aeropuerto internacional en Oriente Medio, fabricantes industriales en Asia e instituciones educativas.

Investigadores de Symantec afirman que el actor de la amenaza "pasó una semana dentro de la red de un importante fabricante de electrónica surcoreano en febrero de 2026".

El equipo de Threat Hunter de Symantec cree que el atacante estaba impulsado por la inteligencia, centrándose en el robo de propiedad industrial e intelectual, el espionaje gubernamental y el acceso a clientes finales o redes corporativas.

fortemedia and sentinelone abuse

La campaña de Seedworm se basó en gran medida en el DLL sideloading, una técnica común en la que el software legítimo y firmado carga DLL maliciosas.

Dos de los binarios aprovechados en el ataque son 'fmapp.exe', una utilidad de audio legítima de Foremedia, y 'sentinelmemoryscanner.exe', un componente legítimo de SentinelOne.

Las DLL maliciosas (fmapp.dll y sentinelagentcore.dll) contenían ChromElevator, una herramienta de post-explotación comercial que roba datos almacenados en navegadores basados en Chrome.

Symantec también descubrió que PowerShell, utilizado en ataques anteriores de Seedworm, siguió siendo muy utilizado en los incidentes recientes, aunque las cargas útiles se controlaban a través de cargadores de Node.js en lugar de hacerlo directamente.

PowerShell se utilizó para capturar capturas de pantalla, realizar reconocimientos, obtener cargas útiles adicionales, establecer persistencia, robar credenciales y crear túneles SOCKS5.

attack on a korean firm

Según las observaciones de Symantec, el ataque al fabricante de electrónica surcoreano duró entre el 20 y el 27 de febrero. Los investigadores no revelaron el nombre de la organización afectada.

En la primera etapa, Seedworm realizó un reconocimiento del host y del dominio, seguido de una enumeración de antivirus a través de WMI, captura de pantalla y la descarga de malware adicional.

El robo de credenciales se produjo mediante avisos falsos de Windows, robo de colmenas del registro (SAM/SECURITY/SYSTEM) y herramientas de abuso de tickets Kerberos.

La persistencia se estableció mediante modificaciones del registro, el balizamiento ocurrió en intervalos de 90 segundos y los binarios cargados lateralmente se reiniciaron repetidamente para mantener el acceso.

“La cadencia es nuevamente consistente con una actividad impulsada por implantes en lugar de una presencia continua del operador”, dijeron los investigadores [enlace].

Los atacantes aprovecharon sendit.sh, un servicio público de intercambio de archivos para la exfiltración de datos, probablemente para ocultar la actividad maliciosa y hacer que pareciera tráfico normal.

En general, Symantec ha calificado la última campaña de Seedworm como notable por la expansión geográfica de los actores de la amenaza, su madurez operativa y el abuso de herramientas y servicios legítimos, lo que marca un cambio hacia ataques más silenciosos.

Fuente:
BleepingComputer