Іранська APT-група MuddyWater (Seedworm), яку західні спецслужби пов’язують з Міністерством розвідки та безпеки Ірану (MOIS), розгорнула масштабну кіберакампанію проти організацій у США та Ізраїлі. Під удар потрапили банки, аеропорти, некомерційні організації та ізраїльський офіс великої софтверної компанії, що працює в тому числі в оборонному й аерокосмічному секторах.
Іранська група MuddyWater: геополітика та цілі кібершпигунства
За даними Broadcom (Symantec) та Carbon Black Threat Hunter Team, активна фаза кампанії стартувала на початку лютого й істотно посилилася після ударів США та Ізраїлю по іранських цілях. Така синхронізація кібероперацій з військово-політичними подіями відповідає сучасній доктрині Ірану, де кіберпростір розглядається як інструмент тиску, розвідки й асиметричної відповіді.
MuddyWater вже тривалий час класифікують як державно-спонсоровану APT‑групу, орієнтовану не стільки на разові руйнівні атаки, скільки на довготривале приховане проникнення в інфраструктуру жертв і кібершпигунство.
Новий бекдор Dindoor: Deno, Rclone і прихована ексфільтрація даних
У мережах американського банку, канадської НКО та ізраїльського офісу софтверної компанії дослідники виявили раніше неописаний бекдор Dindoor. Його особливість у тому, що він використовує середовище виконання Deno для JavaScript, тоді як більшість засобів захисту зосереджені на виявленні шкідливого коду в традиційних рантаймах (наприклад, Node.js).
Dindoor надає зловмисникам повноцінний віддалений контроль над системою: виконання команд, створення «опорних точок» у мережі та підготовку до викрадення даних. Для ексфільтрації інформації атакувальники застосовували консольну утиліту Rclone, спрямовуючи трафік у хмарне сховище Wasabi, сумісне з Amazon S3.
Такий підхід маскує витік даних під цілком легітимний хмарний трафік, що ускладнює виявлення на рівні мережевого моніторингу, особливо там, де немає детальної інспекції звернень до S3‑подібних сервісів.
Python‑імплант Fakeset: зв’язок із попередніми операціями MuddyWater
У мережах американського аеропорту та ще однієї некомерційної організації фахівці ідентифікували окремий Python‑бекдор Fakeset, завантажений з інфраструктури хмарного провайдера Backblaze. Його цифровий сертифікат раніше використовувався для підпису шкідливих програм Stagecomp та Darkcomp, які вже приписували MuddyWater.
Попри те, що Stagecomp і Darkcomp у поточній кампанії не фіксувалися, повторне використання сертифікатів є сильним технічним індикатором єдиного оператора. Додатково використання легітимних хмарних платформ (Backblaze, Wasabi) та підписаного коду знижує імовірність спрацювання механізмів захисту та свідчить про зростання операційної зрілості іранських груп.
Атаки на IP‑камери Hikvision і Dahua: розвідка та Battle Damage Assessment
Компанія Check Point повідомляє про активізацію проіранських і пропалестинських хактивістських угруповань, зокрема Handala Hack (Void Manticore), які сканують зовнішні веб‑додатки на предмет слабких паролів та помилкових конфігурацій, частково маршрутизуючи операції через IP-діапазони Starlink.
Інші іранські актори, включно з Agrius (Agonizing Serpens, Marshtreader, Pink Sandstorm), масово полюють на вразливі IP‑камери й домофонні системи Hikvision та Dahua. Експлуатуються, зокрема, уразливості CVE-2017-7921, CVE-2023-6895, CVE-2021-36260, CVE-2025-34067, CVE-2021-33044, що дозволяють отримати доступ до відеопотоку й, у ряді випадків, до самої мережі.
За спостереженнями Check Point, кількість атак на камери різко зросла в Ізраїлі, країнах Перської затоки (ОАЕ, Катар, Бахрейн, Кувейт), а також у Лівані та на Кіпрі. Дослідники вважають, що такі злами використовуються для оперативної розвідки та оцінки наслідків ударів (Battle Damage Assessment), зокрема для підтримки ракетних операцій. Моніторинг спроб компрометації камер з певної інфраструктури може розглядатись як ранній індикатор потенційних подальших фізичних ударів.
Тактика іранських APT: ставка на облікові дані та хмарні сервіси
Канадський Центр кібербезпеки (CCCS) та аналітики UltraViolet Cyber попереджають: іранський наступальний кіберпотенціал перетворився на «стійкий інструмент державної потуги» і, з високою ймовірністю, буде застосовуватися проти критичної інфраструктури та інформаційних систем західних країн.
Сучасна іранська тактика робить акцент не на рідкісних «нулях дня» (zero‑day), а на масштабованих методах доступу: крадіжці облікових даних, password spraying, таргетованому фішингу та соціальній інженерії, включно з «honeytrap»‑операціями, де зловмисники поступово вибудовують довіру до жертви. Особлива увага приділяється контролю над хмарними та identity‑платформами (Active Directory, IdP, SaaS‑сервіси), що дає змогу утримувати довготривалий доступ і здійснювати lateral movement по мережі.
Як організаціям протистояти MuddyWater та іншим іранським групам
Фінансовим установам, транспортним компаніям, оборонним підрядникам і НКО доцільно переглянути свою модель загроз з урахуванням активності іранських APT‑груп і хактивістів. Критично важливими є: посилений моніторинг і логування (SIEM/SOC, поведінковий аналіз, контроль трафіку до хмарних сховищ і утиліт на кшталт Rclone), мінімізація експозиції в інтернет (обмеження доступу до панелей адмінуправління, VPN‑шлюзів, IP‑камер та OT), стійка до фішингу MFA (FIDO2, апаратні токени), сегментація мереж із виділенням OT та систем відеоспостереження, а також регулярні офлайн‑резервні копії й оперативне закриття відомих CVE для Hikvision, Dahua та інших edge‑пристроїв.
На фоні подальшої ескалації конфлікту в регіоні ризик переходу від кібершпигунства й хактивізму до руйнівних кібератак по критичних системах є цілком реальним. Компаніям варто інвестувати в кіберстійкість уже зараз: впроваджувати проактивний моніторинг, регулярно тренувати персонал і відпрацьовувати сценарії реагування, щоб понизити шанси стати наступною ціллю MuddyWater чи споріднених угруповань.
