Akademi, mühendislik, yerel yönetim, üretim, teknoloji, ulaşım ve kamu hizmetleri sektörlerini kapsayan İsrailli kuruluşlar, İranlı ulus devlet aktörleri tarafından gerçekleştirilen ve MuddyViper adı verilen daha önce belgelenmemiş bir arka kapı sağlayan bir dizi yeni saldırının hedefi olarak ortaya çıktı.
Etkinlik ESET tarafından şu şekilde bilinen bir bilgisayar korsanlığı grubuna atfedildi: ÇamurluSu (aka Mango Sandstorm veya TA450), İran İstihbarat ve Güvenlik Bakanlığı’na (MOIS) bağlı olduğu değerlendirilen bir küme. Saldırılarda Mısır merkezli bir teknoloji şirketi de hedef alındı.
Bilgisayar korsanlığı grubu ilk kez Kasım 2017’de, Palo Alto Networks Birim 42’nin, aynı yılın Şubat ve Ekim ayları arasında POWERSTATS adı verilen özel bir arka kapı kullanarak Orta Doğu’ya yönelik hedefli saldırıları ayrıntılarıyla anlatmasıyla ortaya çıktı. Ayrıca Quicksand Operasyonu olarak adlandırılan bir kampanyanın parçası olarak PowGoop adlı Thanos fidye yazılımının bir versiyonunu kullanarak İsrailli kuruluşlara yönelik yıkıcı saldırılarıyla da tanınıyor.
İsrail Ulusal Siber Müdürlüğü’nün (INCD) verilerine göre MuddyWater’ın saldırıları ülkenin yerel yönetimlerini, sivil havacılığı, turizmi, sağlık hizmetlerini, telekomünikasyonu, bilgi teknolojisini ve küçük ve orta ölçekli işletmeleri (KOBİ’ler) hedef alıyor.
Tipik saldırı zincirleri, ağlara sızmak ve MuddyWater’ın uzun süredir tercih ettiği bir yaklaşım olan meşru uzaktan yönetim araçlarını dağıtmak için hedef odaklı kimlik avı ve VPN altyapısındaki bilinen güvenlik açıklarından yararlanma gibi teknikleri içerir. Ancak, en azından Mayıs 2024’ten bu yana, kimlik avı kampanyaları BugSleep (diğer adıyla MuddyRot) olarak bilinen bir arka kapı sundu.
Cephaneliğindeki diğer önemli araçlardan bazıları arasında bir uzaktan yönetim aracı (RAT) olan Blackout; AnchorRat, dosya yükleme ve komut yürütme özellikleri sunan bir RAT; Komutları alabilen ve bilgi aktarabilen bir RAT olan CannonRat; Bilinen bir dosya bulaşıcı virüsü olan Neshta; ve uzaktan kontrol için BlackPearl RAT’ı dağıtan TreasureBox adlı bir yükleyici ve C2 sunucusundan yükleri indirmek için Pheonix olarak bilinen bir ikili dosya sağlayan bir komuta ve kontrol (C2) çerçevesi olan Sad C2.
Siber casusluk grubunun, özel kötü amaçlı yazılımlar ve kamuya açık araçların bir karışımını kullanarak, başta hükümetler ve kritik altyapılar olmak üzere çok çeşitli sektörleri hedef alma konusunda bir geçmişi var. En son saldırı dizisi, önceki kampanyalarda olduğu gibi, Atera, Level, PDQ ve SimpleHelp gibi yasal uzak masaüstü araçlarına bağlantı sağlayan PDF ekleri içeren kimlik avı e-postalarıyla başlıyor.
Kampanya, C/C++ tabanlı MuddyViper arka kapısının şifresini çözmek ve yürütmek için tasarlanmış Fooder adlı bir yükleyicinin kullanılmasıyla dikkat çekiyor. Alternatif olarak, C/C++ yükleyicinin ayrıca go-socks5 ters tünel proxy’lerini ve adı verilen açık kaynaklı bir yardımcı programı dağıttığı da bulunmuştur. HackTarayıcıVerileri Apple macOS’taki Safari haricinde çeşitli tarayıcılardan tarayıcı verileri toplamak için.
Slovak siber güvenlik şirketi The Hacker News ile paylaşılan bir raporda, “MuddyViper, saldırganların sistem bilgilerini toplamasına, dosya ve kabuk komutlarını yürütmesine, dosya aktarmasına ve Windows oturum açma kimlik bilgilerini ve tarayıcı verilerini sızdırmasına olanak tanıyor” dedi.
Toplamda arka kapı, virüslü sistemlere gizli erişimi ve kontrolü kolaylaştıran 20 komutu destekliyor. Bir dizi Fooder çeşidi, klasik Snake oyununu taklit ederken, tespitten kaçınmak için gecikmeli yürütmeyi de içeriyor. MuddyWater’ın Fooder kullanımı ilk olarak Eylül 2025’te Group-IB tarafından vurgulandı.
Saldırılarda ayrıca aşağıdaki araçlar da kullanılır:
- Veeam, AnyDesk, Xerox ve OneDrive güncelleme hizmetinin kimliğine bürünen bir arka kapı olan VAXOne
- CE-Notes, Chromium tabanlı tarayıcıların Yerel Durum dosyasında saklanan şifreleme anahtarını çalarak Google Chrome’un uygulamaya bağlı şifrelemesini atlamaya çalışan bir tarayıcı veri hırsızıdır (açık kaynak kodlu tarayıcılarla benzerlikleri paylaşır). KromAsansör proje)
- Google Chrome, Microsoft Edge, Mozilla Firefox ve Opera’dan kullanıcı oturum açma verilerini toplayan bir C/C++ tarayıcı verisi hırsızı olan Blub
- LP-Notes, sahte bir Windows Güvenliği iletişim kutusu görüntüleyerek kullanıcıları sistem kullanıcı adlarını ve şifrelerini girmeleri için kandıran, C/C++ ile yazılmış bir kimlik bilgisi hırsızıdır.
ESET, “Bu kampanya MuddyWater’ın opera/onal olgunluğunda bir evrime işaret ediyor” dedi. “Fooder yükleyici ve MuddyViper arka kapısı gibi daha önce belgelenmemiş bileşenlerin konuşlandırılması, gizliliği, kalıcılığı ve kimlik bilgisi toplama yeteneklerini artırmaya yönelik bir çabanın sinyalini veriyor.”
Büyüleyici Yavru Kedi Sızıntıları
Açıklama, İsrail Ulusal Dijital Ajansı’nın (INDA), APT42 olarak bilinen İranlı tehdit aktörlerini SpearSpecter adlı casusluk odaklı bir kampanyayla ilgili bireyleri ve kuruluşları hedef alan saldırılarla ilişkilendirmesinden haftalar sonra geldi. APT42’nin, APT35 (diğer adıyla Charming Kitten ve Fresh Feline) olarak takip edilen başka bir hack grubuyla çakışmaları paylaştığına inanılıyor.
Bu aynı zamanda, İngiliz-İranlı aktivist Nariman Gharib’e göre, İran’a tehdit olarak kabul edilen kişilerin yerini tespit etmek ve öldürmek için tasarlanmış bir sistemi besleyen bilgisayar korsanlığı grubunun siber operasyonlarını açığa çıkaran büyük miktarda dahili belge sızıntısının da ardından geldi. İslam Devrim Muhafızları Birliği (IRGC) ile, özellikle de Birim 1500 olarak bilinen karşı istihbarat bölümüyle bağlantılıdır.
FalconFeeds, “Hikaye PowerShell ve Farsça yazılmış bir korku senaryosu gibi görünüyor” dedi ve sızıntının “İran’ın IRGC Birimi 1500 siber bölümünün tam bir haritasını” ortaya çıkardığını ekledi.
Veri dökümü, Eylül ve Ekim 2025’te, adı bilinmeyen bir kolektif tarafından GitHub’a gönderildi. Kedi Avcılarımotivasyonları hala bilinmiyor. Özellikle, hazinede Abbas Hosseini olarak da bilinen Abbas Rahrovi’nin operasyonun lideri olduğu belirtiliyor ve bilgisayar korsanlığı biriminin paravan şirketlerden oluşan bir ağ aracılığıyla yönetildiği iddia ediliyor.
Belki de en önemli açıklamalardan biri, Nisan 2023’te Bitdefender tarafından ABD, Avrupa, Orta Doğu ve Hindistan’daki şirketleri hedef alan saldırılarda kullanıldığı için işaretlenen BellaCiao ile ilişkili kaynak kodunun tamamının yayınlanmasıdır. Gharib’e göre arka kapı, Tahran’daki Shuhada üssünden faaliyet gösteren bir ekibin işi.
DomainTools, “Sızdırılan materyaller, merkezi olmayan bir bilgisayar korsanlığı topluluğundan ziyade, farklı hiyerarşilere, performans gözetimine ve bürokratik disipline sahip bir organizasyondan ziyade yapılandırılmış bir komuta mimarisini ortaya koyuyor” dedi.
“APT35 sızıntısı, İran devletinin tanımlanmış hiyerarşileri, iş akışları ve performans ölçümleriyle kurumsal bir kolu olan bürokratik bir siber istihbarat aygıtını açığa çıkarıyor. Belgeler, memurların günlük etkinlikleri kaydettiği, kimlik avı başarı oranlarını ölçtüğü ve keşif saatlerini takip ettiği kendi kendini idame ettiren bir ekosistemi ortaya koyuyor. Bu arada teknik personel, mevcut güvenlik açıklarına karşı saldırıları test ediyor ve silah haline getiriyor.”