Atores estatais iranianos foram observados utilizando um framework de comando e controle (C2) anteriormente não documentado chamado MuddyC2Go, como parte de ataques direcionados a Israel.

“O componente web do framework é escrito na linguagem de programação Go”, disse Simon Kenin, pesquisador de segurança da Deep Instinct, em um relatório técnico publicado na quarta-feira.

A ferramenta foi atribuída ao MuddyWater, um grupo de hackers patrocinado pelo estado iraniano, afiliado ao Ministério de Inteligência e Segurança (MOIS) do Irã.

A empresa de cibersegurança afirmou que o framework C2 pode ter sido utilizado pelo ator de ameaça desde o início de 2020, com ataques recentes utilizando-o no lugar do PhonyC2, outra plataforma C2 personalizada do MuddyWater que veio à tona em junho de 2023 e teve seu código-fonte vazado.

As sequências de ataque típicas observadas ao longo dos anos envolveram o envio de e-mails de spear-phishing contendo arquivos com malware ou links falsos que levam à implantação de ferramentas legítimas de administração remota.

A instalação do software de administração remota abre caminho para a entrega de cargas úteis adicionais, incluindo o PhonyC2. O MuddyWater usa arquivos protegidos por senha para evitar soluções de segurança de e-mail e distribuindo um executável em vez de uma ferramenta de administração remota.

O servidor MuddyC2Go, por sua vez, envia um script PowerShell, que é executado a cada 10 segundos e aguarda mais comandos do operador.

Embora a extensão completa dos recursos do MuddyC2Go seja desconhecida, suspeita-se que seja um framework responsável por gerar cargas úteis de PowerShell para realizar atividades de pós-exploração.