El grupo de hackers iraní MuddyWater, vinculado al Estado iraní, ha lanzado una extensa campaña de ciberespionaje que comprometió a más de 100 entidades gubernamentales y diplomáticas en Medio Oriente y el norte de África, desplegando una nueva versión del backdoor Phoenix (v4).
Según un informe de Group-IB, los ataques comenzaron el 19 de agosto de 2025, cuando los atacantes iniciaron una operación de phishing masivo desde una cuenta comprometida, accedida mediante NordVPN.
Las víctimas incluyen embajadas, ministerios de relaciones exteriores, misiones diplomáticas y consulados, con el objetivo de infiltrarse en redes gubernamentales y recopilar información sensible.
Phishing con documentos de Word y macros maliciosas
Los correos de phishing incluían documentos de Microsoft Word que pedían al usuario habilitar contenido. Al hacerlo, se ejecutaban macros VBA que instalaban el loader FakeUpdate, encargado de descifrar y ejecutar el backdoor Phoenix.
Este método de infección (popular hace años) había sido abandonado tras las políticas de Microsoft que deshabilitaron las macros por defecto.
Aunque, MuddyWater parece haberlo resucitado estratégicamente para atacar organizaciones que aún usan versiones antiguas de Office o configuraciones menos seguras.
Los investigadores señalan que el archivo malicioso escribe el ejecutable del malware en la ruta: C:ProgramDatasysprocupdate.exe
donde luego se establece persistencia modificando entradas del Registro de Windows para asegurar su ejecución tras el reinicio del sistema.
Phoenix v4: un backdoor más sigiloso y persistente
El backdoor Phoenix, utilizado en múltiples operaciones de espionaje cibernético desde 2022, ha evolucionado notablemente en esta versión 4.
Entre las mejoras detectadas, Group-IB destaca:
- Un nuevo mecanismo de persistencia basado en COM,
- Mejoras en la ocultación del tráfico C2 (Command and Control) mediante WinHTTP,
- Y nuevas funcionalidades de comando remoto.
Comandos principales del Phoenix v4:
65— Modo de espera (sleep)68— Subir archivos al servidor C285— Descargar archivos desde el C267— Abrir un shell remoto83— Ajustar intervalos de comunicación
Estas capacidades permiten al atacante control total del sistema comprometido, incluyendo la carga de herramientas adicionales, extracción de datos o la instalación de nuevas cargas maliciosas.
Herramientas adicionales y robo de contraseñas
Además del Phoenix, el grupo iraní desplegó un infostealer personalizado diseñado para robar credenciales de navegadores como Chrome, Brave, Opera y Edge.
El stealer extrae bases de datos locales, obtiene las claves maestras y descifra contraseñas, cookies y tokens de sesión.
En la infraestructura de comando y control (C2) de MuddyWater también se detectaron herramientas de administración remota (RMM) como PDQ y Action1, utilizadas en etapas posteriores de ataque para mantener el acceso, desplegar software o ejecutar órdenes de forma encubierta.
Un actor persistente del ciberespionaje iraní
MuddyWater (también conocido como Static Kitten, Mercury o Seedworm) es un grupo atribuido al Ministerio de Inteligencia y Seguridad de Irán (MOIS).
Opera desde al menos 2017 y ha estado implicado en múltiples campañas de espionaje contra gobiernos, empresas de telecomunicaciones y entidades diplomáticas.
Group-IB atribuye con alta confianza esta nueva ola de ataques al grupo iraní, basándose en:
- El uso de familias de malware conocidas en campañas anteriores,
- Patrones de codificación idénticos,
- Y una coherencia geopolítica con los intereses estratégicos de Teherán.
Conclusión
El resurgimiento de MuddyWater con el Phoenix v4 confirma una tendencia clara: los grupos estatales iraníes siguen modernizando herramientas antiguas con nuevas técnicas de sigilo y persistencia.
Su retorno al uso de macros en documentos Office muestra una estrategia flexible que combina métodos “retro” con tácticas modernas de evasión.
Mientras tanto, los expertos advierten que la campaña podría marcar solo el inicio de una nueva fase de espionaje digital iraní más agresiva y sofisticada, centrada en los ministerios y diplomacias del mundo árabe y africano.