Иранские хакеры атаковали крупные организации в девяти странах

Подразделение Threat Hunter компании Symantec (Broadcom) совместно с командой Carbon Black опубликовало отчёт о шпионской кампании иранской группировки MuddyWater (также известной как Seedworm, Temp Zagros, Static Kitten и Mango Sandstorm). По данным исследователей, в первом квартале 2026 года атаке подверглись не менее девяти организаций в девяти странах на четырёх континентах.

Список затронутых отраслей включает промышленное производство и производство электроники, образование, финансовые и профессиональные услуги, а также государственный сектор. В числе жертв — крупный южнокорейский производитель электроники (название не раскрывается), государственные ведомства и международный аэропорт на Ближнем Востоке, промышленные предприятия в Юго-Восточной Азии, поставщик финансовых услуг в Латинской Америке и образовательные учреждения в нескольких странах. В сети южнокорейского производителя злоумышленники, по оценке Symantec, находились около недели в феврале 2026 года.

Ключевым приёмом кампании стала техника DLL side-loading: атакующие подгружали вредоносные библиотеки через легитимные подписанные исполняемые файлы Fortemedia и SentinelOne. На скомпрометированных хостах выполнялась PowerShell-разведка, запускались импланты для снятия скриншотов, кражи кустов реестра SAM, повышения привилегий и организации обратного SOCKS5-туннеля. Для удержания доступа MuddyWater повторно запускала свои бинарники.

MuddyWater активна с 2017 года и связывается западными спецслужбами с иранским Министерством разведки и безопасности (MOIS). Использование подписанных легитимных бинарников затрудняет обнаружение средствами защиты, опирающимися на репутацию исполняемых файлов и цифровые подписи; индикаторы компрометации опубликованы в материалах Symantec.