MuddyWater olarak bilinen İran bağlantılı tehdit aktörü, Orta Doğu ve Kuzey Afrika (MENA) bölgesindeki 100’den fazla devlet kurumu ve diplomatik misyonu hedef alan yeni bir siber casusluk kampanyası yürütüyor. Singapur merkezli Group-IB’nin teknik raporuna göre, saldırganlar Phoenix adlı gelişmiş bir arka kapıyı yaymak için ele geçirilmiş NordVPN destekli e-posta hesaplarını kullanıyor.

Kampanya Detayları ve Hedef Profili

Kampanyanın hedeflerinin %75’inden fazlası elçilikler, dışişleri bakanlıkları, konsolosluklar ve uluslararası kuruluşlardan oluşuyor. Telekomünikasyon firmaları da önemli hedefler arasında yer alıyor. Tehdit aktörleri, oltalama e-postalarını gerçek yazışmalar gibi göstererek, alıcıların kötü amaçlı ekleri açmasını sağlamak için güven ve otoriteyi kötüye kullanıyor.

Teknik Analiz: Silahlandırılmış Belgeler ve Phoenix Arka Kapısı

Saldırı zinciri, makroların etkinleştirilmesini zorunlu kılan silahlandırılmış Microsoft Word belgeleri içeriyor. Kullanıcı makroları etkinleştirdiğinde, belge içindeki kötü amaçlı Visual Basic for Applications (VBA) kodu çalışıyor ve Phoenix arka kapısının dördüncü sürümü yükleniyor. Bu arka kapı, FakeUpdate adlı bir yükleyici aracılığıyla diske yazılıyor ve AES şifrelemesiyle korunan Phoenix bileşenini açığa çıkarıyor.

MuddyWater’ın Gelişmiş Operasyonel Yetenekleri

MuddyWater, Boggy Serpens, Cobalt Ulster, Earth Vetala gibi diğer takma adlarla da anılan ve İran İstihbarat ve Güvenlik Bakanlığı (MOIS) ile bağlantılı olduğu düşünülen bir gruptur. Grup, 2017’den beri aktif olup, Python tabanlı BugSleep implantının hafif bir versiyonu olan Phoenix’i kullanıyor. Group-IB, Phoenix’in iki varyantını (v3 ve v4) tespit etti.

Tehdit aktörünün komut ve kontrol (C2) sunucusu “159.198.36[.]115” sadece Phoenix arka kapısını değil, aynı zamanda uzaktan izleme ve yönetim (RMM) araçları ile Brave, Chrome, Edge ve Opera tarayıcılarını hedef alan özel bir kimlik bilgisi hırsızını da barındırıyor. Bu, saldırganların ticari RMM araçları ile kendi özel kötü amaçlı yazılımlarını entegre ederek gizlilik ve kalıcılık sağlama yeteneklerini gösteriyor.

Ek Teknik Detaylar ve Benzerlikler

Bu kampanyada kullanılan Phoenix arka kapısı, MCP istemcisi ve AsyncRAT gibi modüler komut ve kontrol protokollerine benzer özellikler taşıyor. Ayrıca, tehdit aktörlerinin konteyner tabanlı altyapılarında rastgele SSH portları kullanarak ağ hareketliliğini gizledikleri gözlemleniyor. Pydantic AI destekli analizler, saldırganların hedef ağlarda otomatik keşif ve lateral hareket kabiliyetlerini artırdığını ortaya koyuyor.

MuddyWater’ın yıllar içinde oltalama kampanyalarıyla uzaktan erişim yazılımları dağıtma geçmişi, bu yeni operasyonun karmaşıklığını ve sürekliliğini vurguluyor.