Ciberespionaje de MuddyWater: Snakes by the riverbank

El 2 de diciembre de 2025, el equipo de investigadores de ESET publicó un informe sobre una nueva campaña del grupo de ciberespionaje MuddyWater (también conocido como Mango Sandstorm o TA450), dirigida contra infraestructura crítica en Israel y Egipto.

La campaña usó herramientas previamente desconocidas, entre ellas:

  • un cargador (“loader”) llamado Fooder, que en varias de sus versiones se disfraza como el clásico videojuego Snake; este disfraz no es meramente decorativo, sino parte de una técnica para evadir análisis automatizados mediante “delay loops” inspirados en la lógica del juego.
  • un backdoor completamente nuevo, MuddyViper, desarrollado en C/C++, que permite a los atacantes recolectar información del sistema, ejecutar comandos, mover archivos, exfiltrar credenciales de Windows y datos de navegadores, e incluso desplegar túneles de red inversos.

Además, la campaña usó ladrones de credenciales y datos de navegador (como CE-Notes, LP-Notes, Blub) y túneles basados en go-socks5 para mantener persistencia y comunicación encubierta con sus servidores de comando y control.

Las víctimas identificadas suman al menos 17 organizaciones en Israel, en sectores como tecnología, ingeniería, manufactura, transporte, servicios públicos, gobierno local, educación y universidades; además de una organización del sector tecnológico en Egipto.

¿Por qué es importante este descubrimiento?

1. Evolución táctica: de ataques “ruidosos” a operaciones más sigilosas.

Históricamente, MuddyWater había sido conocido por campañas relativamente “ruidosas” — con malware detectable, técnicas algo burdas o bastante repetibles.

Esta campaña, en cambio, representa un salto: uso de malware nuevo, técnicas de evasión sofisticadas (instalación en memoria, sin escribir en disco; uso de “delay loops” para evadir sandbox; túneles inversos), y una operación más deliberada, silenciosa y dirigida.

En otras palabras: MuddyWater demuestra madurez operativa, lo que hace sus ataques más peligrosos y difíciles de detectar.

2. Blanco: infraestructura crítica y sectores estratégicos.

El hecho de que los objetivos sean organizaciones de sectores esenciales — energía, transporte, gobierno, educación, manufactura — sugiere que el ataque no busca solo espionaje rutinario, sino potencial influencia, acceso estratégico o incluso sabotaje encubierto.
El patrón coincide con lo que se espera de grupos alineados con estados: apuntar a estructuras clave, probablemente con fines geopolíticos o de inteligencia estratégica.

3. Uso de señuelos culturales/populares: un “juego” como tapadera.

Quizás uno de los elementos más llamativos — y preocupantes — es el disfraz del malware como un juego inocente y popular como Snake. Eso demuestra que los atacantes no solo buscan evadir sistemas de defensa automáticos, sino también explotar la confianza o inconsciencia del usuario: un elemento psicológico.
La técnica es doblemente efectiva: engaña al usuario (o al analista que revise la máquina) y a las herramientas automáticas de detección.

4. Coordinación entre grupos: un ecosistema creciente de amenazas combinadas.

El informe también documenta una superposición operacional entre MuddyWater y otro actor alineado con Irán: Lyceum (subgrupo de OilRig), lo que sugiere que MuddyWater podría estar actuando como “broker” de acceso: es decir, abriendo puertas para otros grupos que luego aprovechan las credenciales o el acceso ya obtenido.
Este tipo de cooperación entre grupos refuerza la idea de un ecosistema de amenazas más estructurado, coordinado y persistente — no meras operaciones aisladas de hackers individuales.

5. Señal de alerta global: ciberespionaje en tiempos de tensiones geopolíticas.

Que un actor alineado con Irán esté apuntando especialmente a Israel y, en menor medida, a Egipto, no parece casual: responde a un contexto geopolítico tenso, donde la guerra de inteligencia digital es parte de las disputas de poder, influencia y control regional.
Los informes como este muestran que las tensiones en el mundo real se trasladan al espacio digital, y organizaciones críticas son blanco de campañas sofisticadas.

Implicaciones para el mundo hoy (y para nosotros).

Este caso representa un claro llamado de atención para gobiernos, empresas, infraestructuras críticas y organizaciones internacionales: la ciberseguridad ya no es opcional. Grupos como MuddyWater no operan con scripts básicos ni phishing rudimentario, sino con herramientas desarrolladas ad hoc, persistencia sigilosa, técnicas de evasión avanzadas y objetivos geopolíticos.

Para los países que no estén directamente involucrados en el conflicto — como muchos en Latinoamérica — esto también tiene relevancia: la proliferación de estas técnicas globales incrementa el riesgo de que sean usadas local o regionalmente, ya sea por grupos con otros intereses o mediante ataques por encargo.

En el plano de las defensas, es indispensable fortalecer la detección en memoria (no solo en disco), monitoreo de procesos con comportamiento anómalo, segmentación de redes, y concienciación del personal ante spear-phishing, incluso si parece software legítimo o incluso inofensivo (como un juego).

Finalmente, este caso reafirma que la ciberseguridad y la inteligencia digital son ahora parte central de la geopolítica. Las naciones — y sus infraestructuras críticas — no son inmunes: están en el campo de batalla, aunque invisibles para muchos.

Enseñanza dejada.

La campaña documentada por ESET bajo el nombre “Snakes by the riverbank” representa un hito en la evolución del grupo MuddyWater: pasa de operaciones ruidosas y conocidas a ataques sofisticados, sigilosos, con malware a medida, persistencia discreta y técnicas de evasión avanzadas.

El uso de un “juego clásico” como señuelo, la variedad de herramientas desplegadas (loader, backdoor, stealers, tuneles), la amplitud de sectores afectados y la posible cooperación con otros actores muestran un nivel de madurez alarmante — y un modelo de ataque que probablemente se replicará en otros contextos.

Este episodio reafirma que la amenaza cibernética no es un asunto técnico menor, sino parte de una estrategia global de espionaje, influencia y conflicto, que exige atención seria, recursos, y preparación por parte de gobiernos, empresas y ciudadanos.

Más historias

Desmitificando la Dark Web. Una guía para principiantes

Las extensiones maliciosas de VSCode en el registro de Microsoft eliminan a los ladrones de información

Las bandas de ransomware recurren al empaquetador Shanya EXE para ocultar los asesinos EDR

Tres grupos de hackers, dos vulnerabilidades y todas las miradas puestas en China

Pacto Oscuro 3.0: Impunidad controlada y los cibercriminales rusos