ESET descubrió que el grupo MuddyWater usa una versión del juego Snake para ocultar malware y atacar infraestructuras críticas en Israel y también Egipto.
En el mundo de la ciberseguridad, la nostalgia puede convertirse en una trampa peligrosa. Una reciente investigación ha revelado que el clásico juego Snake, aquel que popularizó la telefonía móvil en los años noventa, está siendo utilizado como fachada para una sofisticada campaña de ciberespionaje. El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, identificó esta nueva actividad del grupo MuddyWater, alineado con Irán, dirigida principalmente a organizaciones de infraestructuras críticas en Israel, con un objetivo confirmado también en Egipto.
Esta campaña no es un juego. Los atacantes han desplegado técnicas avanzadas para infiltrarse en sectores clave. Según el reporte, las víctimas en Israel pertenecían a áreas sensibles como la tecnología, la ingeniería, la fabricación, la administración local y la educación. Lo novedoso de este ataque radica en su método de ocultamiento: un cargador personalizado (loader) denominado Fooder, que se hace pasar por el inofensivo juego Snake para evadir los controles de seguridad.
La mecánica del engaño: Fooder y MuddyViper
El ingenio de los ciberdelincuentes para pasar desapercibidos ha evolucionado. Varias versiones del loader Fooder imitan la lógica del juego Snake, incluyendo un retraso o delay personalizado inspirado en la mecánica del videojuego, combinado con el uso frecuente de llamadas a la API Sleep. Estas funciones no son decorativas; están diseñadas específicamente para introducir pausas en la ejecución y dificultar el análisis dinámico automatizado que realizan los antivirus.
Una vez que el «juego» cumple su función de distracción y evasión, entra en escena la verdadera amenaza: MuddyViper. Se trata de un nuevo backdoor (troyano de puerta trasera) desarrollado en C/C++, que Fooder carga de forma reflexiva en la memoria del dispositivo infectado.
Este malware otorga a los atacantes un control alarmante sobre el equipo víctima. MuddyViper permite recopilar información del sistema, ejecutar archivos, lanzar comandos de shell, transferir ficheros y, lo más crítico, extraer credenciales de inicio de sesión de Windows y datos almacenados en los navegadores.
Evolución táctica y herramientas sofisticadas
El grupo MuddyWater, activo desde al menos 2017 y vinculado al Ministerio de Inteligencia y Seguridad Nacional de Irán, ha mostrado un salto de calidad en sus operaciones. En esta campaña, los operadores evitaron deliberadamente las sesiones interactivas con el teclado para no cometer errores de escritura, lo que denota una mayor precisión y profesionalismo.
Además, ESET destaca que los desarrolladores adoptaron CNG, la API criptográfica de Windows de última generación. El uso de esta tecnología es algo atípico en el panorama general de amenazas y parece ser exclusivo de los grupos alineados con Irán.
Sobre esta evolución, Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica, señala: “Esta campaña refleja una evolución en la madurez operativa de MuddyWater. El despliegue de componentes previamente no documentados, indica un esfuerzo por mejorar las capacidades de evasión, persistencia y robo de credenciales. El uso de técnicas de evasión inspiradas en mecánicas de juegos, y un conjunto de herramientas diversificado muestra un enfoque más refinado que en campañas anteriores”.
El acceso inicial y el arsenal complementario
Para lograr el primer acceso, los atacantes recurren al spearphishing. Envían correos electrónicos dirigidos a personas específicas con archivos PDF que contienen enlaces maliciosos. Estos enlaces, alojados en servicios legítimos como OneHub o Mega, descargan instaladores de software de gestión remota (RMM) como Atera, Level o SimpleHelp, herramientas que luego son abusadas para el ataque.
El arsenal no termina ahí. La campaña aprovechó otros programas para robar credenciales, como el backdoor VAX-One, que suplanta productos legítimos como Veeam o AnyDesk. También emplearon ladrones de información específicos como CE-Notes, dirigido a navegadores basados en Chromium, y Blub, diseñado para sustraer datos de Chrome, Edge, Firefox y Opera.
Esta cooperación y sofisticación sugieren que MuddyWater podría estar actuando incluso como un intermediario de acceso inicial para otros grupos, demostrando que la ciberseguridad en infraestructuras críticas enfrenta un desafío cada vez más complejo y adaptativo.
*En la creación de este texto se usaron herramientas de inteligencia artificial.
