Se ha observado que el grupo de hackers iraní conocido como MuddyWater aprovecha una nueva puerta trasera denominada Gángster UDP que utiliza el Protocolo de datagramas de usuario (UDP) para fines de comando y control (C2).
La actividad de ciberespionaje se dirigió a usuarios en Turquía, Israel y Azerbaiyán, según un informe de Fortinet FortiGuard Labs.
«Este malware permite el control remoto de los sistemas comprometidos al permitir a los atacantes ejecutar comandos, filtrar archivos y desplegar cargas útiles adicionales, todo ello comunicado a través de canales UDP diseñados para evadir las defensas tradicionales de la red», dijo la investigadora de seguridad Cara Lin.
La cadena de ataque implica el uso de tácticas de phishing para distribuir documentos de Microsoft Word con trampas explosivas que desencadenan la ejecución de una carga útil maliciosa una vez que se habilitan las macros. Algunos de los mensajes de phishing se hacen pasar por el Ministerio de Asuntos Exteriores de la República Turca del Norte de Chipre y pretenden invitar a los destinatarios a un seminario en línea titulado «Elecciones presidenciales y resultados».
Junto con los correos electrónicos se adjunta un archivo ZIP («seminer.zip») y un documento de Word («seminer.doc»). El archivo ZIP también contiene el mismo archivo de Word, al abrirlo se solicita a los usuarios que habiliten macros para ejecutar sigilosamente el código VBA incrustado.
Por su parte, el script VBA en el archivo cuentagotas está equipado para ocultar cualquier signo de actividad maliciosa al mostrar una imagen señuelo en hebreo del proveedor de telecomunicaciones israelí Bezeq sobre supuestos períodos de desconexión en la primera semana de noviembre de 2025 en varias ciudades del país.
«La macro utiliza el evento Document_Open() para ejecutarse automáticamente, decodificando datos codificados en Base64 desde un campo de formulario oculto (UserForm1.bodf90.Text) y escribiendo el contenido decodificado en C:UsersPublicui.txt», explicó Lin. «Luego ejecuta este archivo usando la API CreateProcessA de Windows, lanzando la carga útil UDPGangster».
UDPGangster establece persistencia a través de modificaciones del Registro de Windows y se jacta de realizar varias comprobaciones antianálisis para resistir los esfuerzos realizados por los investigadores de seguridad para desmantelarlo. Esto incluye –
- Verificar si el proceso se está depurando
- Análisis de configuraciones de CPU para sandboxes o máquinas virtuales
- Determinar si el sistema tiene menos de 2048 MB de RAM
- Recuperar información del adaptador de red para validar si el prefijo de la dirección MAC coincide con una lista de proveedores de máquinas virtuales conocidos
- Validar si la computadora es parte del grupo de trabajo predeterminado de Windows en lugar de un dominio unido
- Examinar los procesos en ejecución para herramientas como VBoxService.exe, VBoxTray.exe, vmware.exe y vmtoolsd.exe
- Ejecutar análisis del Registro para buscar coincidencias con identificadores de proveedores de virtualización conocidos, como VBox, VMBox, QEMU, VIRTUAL, VIRTUALBOX, VMWARE y Xen.
- Buscar herramientas de depuración o sandboxing conocidas, y
- Determinar si el archivo se está ejecutando en un entorno de análisis
Sólo después de que se cumplen estas comprobaciones, UDPGangster procede a recopilar información del sistema y se conecta a un servidor externo («157.20.182(.)75») a través del puerto UDP 1269 para filtrar los datos recopilados, ejecutar comandos usando «cmd.exe», transmitir archivos, actualizar el servidor C2 y soltar y ejecutar cargas útiles adicionales.
«UDPGangster utiliza cuentagotas basados en macros para el acceso inicial e incorpora extensas rutinas anti-análisis para evadir la detección», dijo Lin. «Los usuarios y las organizaciones deben tener cuidado con los documentos no solicitados, en particular aquellos que solicitan una activación macro».
El desarrollo se produce días después de que ESET atribuyó al actor de amenazas a ataques que abarcaron los sectores académico, de ingeniería, de gobierno local, de manufactura, de tecnología, de transporte y de servicios públicos en Israel que generaron otra puerta trasera conocida como MuddyViper.
