Кампания MuddyWater в 2026 году: девять стран, DLL sideloading и инструмент ChromElevator

Иранская группировка MuddyWater (также известная как Seedworm) в первом квартале 2026 года провела масштабную шпионскую кампанию, затронувшую, по данным исследователей Symantec и Carbon Black, как минимум девять организаций в девяти странах на четырёх континентах. Среди целей — промышленное и электронное производство, образовательные и государственные учреждения, финансовые и профессиональные сервисы. Ключевая особенность кампании — использование подписанных легитимных бинарных файлов для подгрузки вредоносных библиотек (DLL sideloading) и открытого инструмента ChromElevator для обхода защиты браузеров на базе Chromium. Организациям, работающим в указанных секторах, следует немедленно проверить наличие описанных индикаторов компрометации в своих сетях.

Жертвы и география атак

Как сообщается в отчёте команд кибербезопасности Broadcom, среди подтверждённых жертв — крупный южнокорейский производитель электроники, в сети которого атакующие предположительно находились около недели в феврале 2026 года. Также были затронуты международный аэропорт на Ближнем Востоке, промышленные предприятия в Юго-Восточной Азии и поставщик финансовых услуг в Латинской Америке. Начальный вектор проникновения в южнокорейскую компанию остаётся неизвестным.

Техническая цепочка атаки

DLL sideloading через подписанные бинарные файлы

Атакующие активно использовали технику DLL sideloading с двумя парами легитимных исполняемых файлов и вредоносных библиотек:

• fmapp.exe (подписанный бинарный файл Fortemedia) — загружает вредоносную библиотеку fmapp.dll. По данным Huntress, эта библиотека содержит код для подключения к контролируемому атакующими IP-адресу 157.20.182[.]49. Использование этой пары ранее было задокументировано Group-IB в связи с операцией под кодовым названием Operation Olalampo.
• sentinelmemoryscanner.exe (бинарный файл, связанный с продуктом SentinelOne) — загружает вредоносную библиотеку sentinelagentcore.dll. Выбор бинарного файла от производителя средств защиты, по оценке исследователей, является намеренным: подписанный файл от вендора безопасности с большей вероятностью обойдёт сигнатурное обнаружение.

Кража данных браузеров через ChromElevator

Обе вредоносные библиотеки содержат встроенный открытый инструмент ChromElevator, предназначенный для извлечения паролей, файлов cookie и данных платёжных карт из браузеров на базе Chromium. Инструмент специально разработан для обхода механизма App-Bound Encryption (ABE) — защиты, которую Google внедрила для предотвращения кражи данных браузера сторонними процессами.

Цепочка имплантов на базе Node.js

Помимо DLL sideloading, атакующие использовали цепочку имплантов на основе Node.js для запуска скриптов PowerShell, выполнявших:

• Разведку и сбор информации о среде
• Снятие снимков экрана
• Извлечение хешей из SAM-реестра
• Повышение привилегий
• Организацию обратного SOCKS5-прокси-туннеля

В как минимум одном случае похищенные данные были размещены на публичном сервисе передачи файлов sendit[.]sh. Атакующие также проводили дамп учётных данных для обеспечения латерального перемещения по сети.

Индикаторы компрометации

• IP-адрес C2: 157.20.182[.]49
• Сервис эксфильтрации: sendit[.]sh
• Вредоносные библиотеки: fmapp.dll, sentinelagentcore.dll
• Легитимные бинарные файлы, используемые для sideloading: fmapp.exe, sentinelmemoryscanner.exe

Эволюция операционной дисциплины

Исследователи отмечают характерную особенность кампании: активность атакующих носила импульсный характер, что указывает на работу через импланты, а не на постоянное присутствие оператора. В случае с южнокорейским производителем MuddyWater многократно запускала разведку через PowerShell и повторно исполняла оба бинарных файла для сохранения доступа.

По оценке Symantec и Carbon Black, ни одна из используемых техник не является принципиально новой, однако их комбинация свидетельствует о значительном повышении операционной гигиены по сравнению с тем, что было известно о Seedworm два-три года назад. Группировка движется в сторону более тихих и дисциплинированных операций.

Параллельные иранские кибероперации

На фоне кампании MuddyWater фиксируется и другая активность, связанная с иранскими кибероператорами. Европейский совет ввёл санкции против иранской компании Emennet Pasargad за взлом шведского SMS-сервиса, получение доступа к французской базе данных подписчиков с последующим выставлением её на продажу, а также за распространение дезинформации через скомпрометированные рекламные билборды во время Олимпийских игр 2024 года в Париже. По данным Госдепартамента США, компания также известна как Shahid Shushtari и связана с Кибер-электронным командованием КСИР (IRGC-CEC).

Кроме того, по данным анализа Gambit Security, в период с конца марта по начало апреля 2026 года зафиксирована отдельная кампания эксфильтрации данных, направленная против организаций в США, Израиле, Саудовской Аравии и Турции. Как минимум два американских объекта подверглись деструктивным операциям — удалению разделов и резервных копий данных. Ответственность за атаки взяла на себя проиранская персона Ababil of Minab. В случаях без деструктивной активности атакующие использовали специализированный инструмент эксфильтрации на C++ под внутренним кодовым названием FileFiend, способный перечислять локальные диски и SMB-ресурсы, обходить файловую систему и отправлять файлы на жёстко заданный C2-сервер.

Рекомендации по защите

• Мониторинг DLL sideloading: настройте правила обнаружения для загрузки неподписанных или нестандартных DLL процессами fmapp.exe и sentinelmemoryscanner.exe. Легитимные бинарные файлы не должны находиться вне штатных каталогов установки.
• Блокировка IOC: добавьте IP-адрес 157.20.182[.]49 и домен sendit[.]sh в чёрные списки на уровне сетевого периметра и EDR.
• Контроль Node.js: ограничьте выполнение node.exe на рабочих станциях и серверах, где Node.js не требуется для бизнес-процессов. Отслеживайте запуск PowerShell из процессов Node.js.
• Защита учётных данных: включите Credential Guard на системах Windows, ограничьте доступ к SAM-реестру и мониторьте попытки дампа учётных данных (события Sysmon ID 10 с доступом к lsass.exe).
• Аудит браузерных данных: рассмотрите внедрение политик, запрещающих хранение паролей и платёжных данных в браузерах на корпоративных устройствах, используя централизованные менеджеры паролей.
• Сегментация сети: ограничьте латеральное перемещение через микросегментацию, особенно для систем с доступом к критичным данным.

Кампания MuddyWater первого квартала 2026 года демонстрирует устойчивый тренд: группировка не изобретает новые техники, а комбинирует известные методы — DLL sideloading через подписанные бинарные файлы вендоров безопасности, открытые инструменты для обхода защиты браузеров, импульсную модель присутствия — в более дисциплинированную операционную модель. Приоритетное действие для команд защиты — проверка сетей на наличие указанных индикаторов компрометации и внедрение правил обнаружения аномальной загрузки DLL легитимными подписанными процессами, особенно в секторах производства, образования, финансов и государственного управления.