Campaña global de ciberespionaje de MuddyWater contra industria y gobiernos

La agrupación iraní MuddyWater (también conocida como Seedworm) llevó a cabo en el primer trimestre de 2026 una campaña de espionaje a gran escala que, según investigadores de Symantec y Carbon Black, afectó al menos a nueve organizaciones en nueve países de cuatro continentes. Entre los objetivos figuraban empresas de producción industrial y electrónica, instituciones educativas y gubernamentales, así como servicios financieros y profesionales. La característica clave de la campaña fue el uso de binarios legítimos firmados para cargar bibliotecas maliciosas (DLL sideloading) y de la herramienta abierta ChromElevator para eludir las protecciones de los navegadores basados en Chromium. Las organizaciones que operan en los sectores mencionados deberían comprobar de inmediato si existen en sus redes los indicadores de compromiso descritos.

Víctimas y geografía de los ataques

Según se indica en el informe de los equipos de ciberseguridad de Broadcom, entre las víctimas confirmadas figura un gran fabricante surcoreano de productos electrónicos, en cuya red los atacantes permanecieron presuntamente alrededor de una semana en febrero de 2026. También se vieron afectados un aeropuerto internacional en Oriente Medio, plantas industriales en el Sudeste Asiático y un proveedor de servicios financieros en América Latina. El vector inicial de intrusión en la empresa surcoreana sigue sin conocerse.

Cadena técnica de la campaña

DLL sideloading a través de binarios firmados

Los atacantes utilizaron de forma activa la técnica de DLL sideloading con dos pares de ejecutables legítimos y bibliotecas maliciosas:

• fmapp.exe (binario firmado de Fortemedia) carga la biblioteca maliciosa fmapp.dll. Según Huntress, esta biblioteca contiene código para conectarse a la dirección IP controlada por los atacantes 157.20.182[.]49. El uso de este par ya había sido documentado anteriormente por Group-IB en relación con una operación con el nombre en clave Operation Olalampo.
• sentinelmemoryscanner.exe (binario asociado a un producto de SentinelOne) carga la biblioteca maliciosa sentinelagentcore.dll. La elección de un binario de un fabricante de soluciones de seguridad es, según los investigadores, deliberada: un archivo firmado por un proveedor de seguridad tiene más probabilidades de eludir la detección basada en firmas.

Robo de datos de navegadores mediante ChromElevator

Ambas bibliotecas maliciosas incluyen integrado el componente abierto ChromElevator, diseñado para extraer contraseñas, cookies y datos de tarjetas de pago de navegadores basados en Chromium. La herramienta está específicamente desarrollada para sortear el mecanismo App-Bound Encryption (ABE), una protección que Google implantó para impedir que procesos externos roben datos del navegador.

Cadena de implantes basada en Node.js

Además de DLL sideloading, los atacantes utilizaron una cadena de implantes basada en Node.js para ejecutar scripts de PowerShell que realizaban:

• Reconocimiento y recopilación de información sobre el entorno
• Captura de pantallas
• Extracción de hashes del registro SAM
• Escalado de privilegios
• Establecimiento de un túnel de proxy SOCKS5 inverso

Al menos en un caso, los datos robados se subieron al servicio público de transferencia de archivos sendit[.]sh. Los atacantes también realizaron volcados de credenciales para facilitar el movimiento lateral dentro de la red.

Indicadores de compromiso

• Dirección IP C2: 157.20.182[.]49
• Servicio de exfiltración: sendit[.]sh
• Bibliotecas maliciosas: fmapp.dll, sentinelagentcore.dll
• Binarios legítimos utilizados para sideloading: fmapp.exe, sentinelmemoryscanner.exe

Evolución de la disciplina operativa

Los investigadores destacan un rasgo característico de la campaña: la actividad de los atacantes fue de tipo intermitente, lo que apunta al uso de implantes y no a la presencia constante de un operador humano. En el caso del fabricante surcoreano, MuddyWater lanzó en múltiples ocasiones tareas de reconocimiento mediante PowerShell y volvió a ejecutar repetidamente ambos binarios para mantener el acceso.

Según la evaluación de Symantec y Carbon Black, ninguna de las técnicas utilizadas es fundamentalmente nueva; sin embargo, su combinación demuestra una mejora significativa de la higiene operativa en comparación con lo que se conocía de Seedworm dos o tres años atrás. El grupo avanza hacia operaciones más silenciosas y disciplinadas.

Operaciones cibernéticas iraníes paralelas

En paralelo a la campaña de MuddyWater se ha observado otra actividad vinculada a operadores cibernéticos iraníes. El Consejo de la Unión Europea impuso sanciones a la empresa iraní Emennet Pasargad por el compromiso de un servicio sueco de SMS, la obtención de acceso a una base de datos francesa de suscriptores y su posterior puesta a la venta, así como por la difusión de desinformación a través de vallas publicitarias comprometidas durante los Juegos Olímpicos de París 2024. Según el Departamento de Estado de EE. UU., la empresa también es conocida como Shahid Shushtari y está vinculada al Cyber-Electronic Command de los Guardianes de la Revolución Islámica (IRGC-CEC).

Además, según el análisis de Gambit Security, entre finales de marzo y principios de abril de 2026 se registró una campaña independiente de exfiltración de datos dirigida contra organizaciones de Estados Unidos, Israel, Arabia Saudí y Turquía. Al menos dos entidades estadounidenses fueron objeto de operaciones destructivas, consistentes en la eliminación de particiones y copias de seguridad de datos. La responsabilidad de los ataques fue reivindicada por la persona proiraní Ababil of Minab. En los casos sin actividad destructiva, los atacantes utilizaron una herramienta especializada de exfiltración en C++ con el nombre interno FileFiend, capaz de enumerar discos locales y recursos SMB, recorrer el sistema de archivos y enviar los archivos a un servidor C2 preconfigurado.

Recomendaciones de protección

• Supervisión de DLL sideloading: configure reglas de detección para identificar la carga de DLL no firmadas o no estándar por los procesos fmapp.exe y sentinelmemoryscanner.exe. Los binarios legítimos no deberían encontrarse fuera de sus directorios de instalación habituales.
• Bloqueo de IOC: añada la dirección IP 157.20.182[.]49 y el dominio sendit[.]sh a las listas negras en el perímetro de red y en las soluciones EDR.
• Control de Node.js: limite la ejecución de node.exe en estaciones de trabajo y servidores donde Node.js no sea necesario para los procesos de negocio. Supervise el lanzamiento de PowerShell desde procesos de Node.js.
• Protección de credenciales: active Credential Guard en sistemas Windows, restrinja el acceso al registro SAM y supervise los intentos de volcado de credenciales (eventos Sysmon ID 10 con acceso a lsass.exe).
• Auditoría de datos de navegador: valore implantar políticas que prohíban almacenar contraseñas y datos de pago en navegadores de dispositivos corporativos, utilizando gestores de contraseñas centralizados.
• Segmentación de la red: limite el movimiento lateral mediante microsegmentación, especialmente en los sistemas con acceso a datos críticos.

La campaña de MuddyWater del primer trimestre de 2026 pone de manifiesto una tendencia constante: el grupo no inventa técnicas nuevas, sino que combina métodos conocidos —DLL sideloading a través de binarios firmados de proveedores de seguridad, herramientas abiertas para eludir las defensas del navegador, un modelo de presencia intermitente— en un modelo operativo más disciplinado. La acción prioritaria para los equipos de defensa es revisar sus redes en busca de los indicadores de compromiso mencionados e implantar reglas para detectar cargas anómalas de DLL por procesos legítimos y firmados, especialmente en los sectores de producción, educación, finanzas y administración pública.