{"id":986,"date":"2026-05-26T17:06:10","date_gmt":"2026-05-26T17:06:10","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/05\/26\/muddywater-utiliza-dll-de-carga-lateral-en-una-campana-de-espionaje-dirigida-a-9-paises-cyberdefensa-mx\/"},"modified":"2026-05-26T17:06:10","modified_gmt":"2026-05-26T17:06:10","slug":"muddywater-utiliza-dll-de-carga-lateral-en-una-campana-de-espionaje-dirigida-a-9-paises-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/05\/26\/muddywater-utiliza-dll-de-carga-lateral-en-una-campana-de-espionaje-dirigida-a-9-paises-cyberdefensa-mx\/","title":{"rendered":"MuddyWater utiliza DLL de carga lateral en una campa\u00f1a de espionaje dirigida a 9 pa\u00edses \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

El grupo de hackers iran\u00ed conocido como FangosoAgua<\/b> se ha vinculado a una nueva campa\u00f1a que afectar\u00e1 al menos a nueve organizaciones en nueve pa\u00edses de cuatro continentes en el primer trimestre de 2026.<\/p>\n

La actividad se centr\u00f3 en la fabricaci\u00f3n industrial y electr\u00f3nica, la educaci\u00f3n y los organismos del sector p\u00fablico, los servicios financieros y los servicios profesionales, seg\u00fan el equipo Threat Hunter de Symantec y Carbon Black. Entre las v\u00edctimas se encuentra un importante fabricante de productos electr\u00f3nicos de Corea del Sur, cuyos atacantes pasaron una semana dentro de su red en febrero de 2026.<\/p>\n

Tambi\u00e9n fueron se\u00f1alados como parte del extenso esfuerzo de espionaje un aeropuerto internacional en el Medio Oriente, fabricantes industriales del sudeste asi\u00e1tico y un proveedor de servicios financieros latinoamericano.<\/p>\n

\u00abLos atacantes se basaron en gran medida en la carga lateral de DLL utilizando archivos binarios Fortemedia (fmapp.exe) y SentinelOne (sentinelmemoryscanner.exe) firmados leg\u00edtimamente para ejecutar archivos DLL maliciosos mientras se hac\u00edan pasar por software benigno\u00bb, dijeron los equipos de ciberseguridad de Broadcom. dicho<\/a>.<\/p>\n

El uso de \u00abfmapp.exe\u00bb para descargar \u00abfmapp.dll\u00bb fue documentado previamente por Group-IB en relaci\u00f3n con otra campa\u00f1a de MuddyWater con nombre en c\u00f3digo Operaci\u00f3n Olalampo. De acuerdo a Cazadora<\/a>la DLL contiene c\u00f3digo para conectarse a una direcci\u00f3n IP controlada por el atacante (\u00ab157.20.182[.]49\u00bb).<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Por otro lado, el abuso de \u00absentinelmemoryscanner.exe\u00bb, un binario asociado con un producto de seguridad, se considera una elecci\u00f3n deliberada, ya que puede eludir la detecci\u00f3n basada en firmas. Est\u00e1 dise\u00f1ado para descargar una DLL maliciosa llamada \u00absentinelagentcore.dll\u00bb.<\/p>\n

Ambas DLL incorporan una herramienta de c\u00f3digo abierto llamada CromoElevador<\/a> para desviar contrase\u00f1as, cookies y datos de tarjetas de pago de navegadores basados \u200b\u200ben Chromium, evitando de manera efectiva las protecciones de cifrado vinculado a aplicaciones (ABE).<\/p>\n

Un aspecto destacable de los ataques es el uso de scripts Node.js para ejecutar c\u00f3digo PowerShell responsable de llevar a cabo operaciones de descubrimiento y recopilaci\u00f3n de informaci\u00f3n. En al menos un caso, se descubri\u00f3 que los atacantes almacenaban los datos robados en sendit.[.]sh, un servicio p\u00fablico de transferencia de archivos.<\/p>\n

\u00abSe utiliz\u00f3 una cadena de implantes basada en node.exe para eliminar scripts de PowerShell que realizaban reconocimiento, captura de pantalla, robo de colmena SAM, escalada de privilegios y tunelizaci\u00f3n de proxy inverso SOCKS5\u00bb, dijeron Symantec y Carbon Black.<\/p>\n

Tambi\u00e9n se entregan los dos pares de carga lateral de DLL antes mencionados para proporcionar a los atacantes un t\u00fanel encubierto para retransmitir el tr\u00e1fico y lanzar CromoElevador<\/b>. Los ataques tambi\u00e9n se caracterizan por esfuerzos por deshacerse de credenciales que les permitir\u00edan moverse lateralmente a trav\u00e9s de las redes.<\/p>\n

En la intrusi\u00f3n dirigida al fabricante de productos electr\u00f3nicos de Corea del Sur, se cree que MuddyWater llev\u00f3 a cabo repetidamente reconocimientos basados \u200b\u200ben PowerShell, as\u00ed como tambi\u00e9n volvi\u00f3 a ejecutar los dos archivos binarios para garantizar que conserva el acceso al host comprometido. Se desconoce el vector de acceso inicial utilizado para violar la organizaci\u00f3n.<\/p>\n

\u00abLa cadencia es nuevamente consistente con la actividad impulsada por el implante en lugar de la presencia continua del operador\u00bb, dijeron los investigadores. \u00abLa historia de su campa\u00f1a muestra un claro movimiento hacia operaciones m\u00e1s silenciosas y disciplinadas. Ninguna de estas t\u00e9cnicas es novedosa individualmente, pero en combinaci\u00f3n proporcionan m\u00e1s evidencia de un avance significativo en la higiene operativa del Seedworm que conoc\u00edamos hace dos o tres a\u00f1os\u00bb.<\/p>\n

Esta novedad se produce cuando el Consejo Europeo impuesto<\/a> sanciones contra la empresa iran\u00ed Emennet Pasargad por piratear un servicio de SMS sueco, acceder al contenido de una base de datos de suscriptores franceses y ponerlo a la venta, y por difundir desinformaci\u00f3n a trav\u00e9s de vallas publicitarias comprometidas durante los Juegos Ol\u00edmpicos de Par\u00eds 2024.<\/p>\n

La compa\u00f1\u00eda, seg\u00fan el Departamento de Estado de EE. UU., se llama Shahid Shushtari y est\u00e1 afiliada al Comando Ciberelectr\u00f3nico del Cuerpo de la Guardia Revolucionaria Isl\u00e1mica de Ir\u00e1n (IRGC-CEC). Se rastrea bajo los apodos Cobalt Obelisk, Cotton Sandstorm, Haywire Kitten (anteriormente ChaoticOrchestra), Marnanbridge y UNC5866.<\/p>\n

\u00abLos miembros de Shahid Shushtari han causado da\u00f1os financieros significativos y perturbaciones a empresas y agencias gubernamentales estadounidenses a trav\u00e9s de operaciones coordinadas de informaci\u00f3n cibern\u00e9tica y habilitada por cibern\u00e9tica\u00bb, se\u00f1al\u00f3 el Departamento de Estado en diciembre de 2025. \u00abEstas campa\u00f1as se han dirigido a m\u00faltiples sectores cr\u00edticos de infraestructura, incluidos los de noticias, transporte mar\u00edtimo, viajes, energ\u00eda, finanzas y telecomunicaciones en Estados Unidos, Europa y Medio Oriente\u00bb.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Los piratas inform\u00e1ticos respaldados por Ir\u00e1n tambi\u00e9n han estado vinculados a una campa\u00f1a de exfiltraci\u00f3n dirigida a organizaciones en EE. UU., Israel, Arabia Saudita y Turqu\u00eda entre finales de marzo y principios de abril de 2026, y al menos dos v\u00edctimas estadounidenses tambi\u00e9n fueron objeto de operaciones destructivas, como la eliminaci\u00f3n de particiones y copias de seguridad de datos.<\/p>\n

Aunque estos incidentes fueron reivindicados por una persona pro iran\u00ed llamada Ababil de Minab<\/a>a nuevo an\u00e1lisis<\/a> de Gambit Security ha vinculado la infraestructura de la campa\u00f1a al Ministerio de Inteligencia y Seguridad de Ir\u00e1n (MOIS).<\/p>\n

Otros objetivos incluyen una organizaci\u00f3n israel\u00ed en el sector de los medios de comunicaci\u00f3n, una instituci\u00f3n de educaci\u00f3n superior israel\u00ed, una corredur\u00eda de seguros turca y varios sitios web adicionales en los sectores de restaurantes, cultura, servicios digitales y noticias.<\/p>\n

No se ha observado ninguna actividad destructiva contra estas v\u00edctimas. En estos casos, se ha descubierto que el adversario emplea una herramienta de exfiltraci\u00f3n y recopilaci\u00f3n de archivos C++ personalizada cuyo nombre en c\u00f3digo interno es FileFiend.<\/p>\n

\u00abEl binario podr\u00eda enumerar unidades locales y recursos compartidos SMB, recorrer el sistema de archivos y enviar archivos a un C2 codificado [command-and-control] servidor\u00bb, dijeron los investigadores de Gambit Security Eyal Sela y Nir Varon en un informe publicado hoy.<\/p>\n

Alternativamente, los datos de inter\u00e9s se comprimen en archivos RAR en un host dentro del entorno de la v\u00edctima y se cargan en el sitio web p\u00fablico de la organizaci\u00f3n en la ra\u00edz web, desde donde se extraen utilizando el acelerador de descarga de l\u00ednea de comandos Axel y se canalizan a trav\u00e9s de cadenas proxy.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

El grupo de hackers iran\u00ed conocido como FangosoAgua se ha vinculado a una nueva campa\u00f1a que afectar\u00e1 al menos a nueve organizaciones en nueve pa\u00edses de cuatro continentes en el primer trimestre de 2026. La actividad se centr\u00f3 en la fabricaci\u00f3n industrial y electr\u00f3nica, la educaci\u00f3n y los organismos del sector p\u00fablico, los servicios financieros […]<\/p>\n","protected":false},"author":1,"featured_media":731,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[133,2663,24,462,2726,907,2727,541,381,132,216],"class_list":["post-986","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-campana","tag-carga","tag-cyberdefensa-mx","tag-dirigida","tag-dll","tag-espionaje","tag-lateral","tag-muddywater","tag-paises","tag-una","tag-utiliza"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/986","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=986"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/986\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/731"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=986"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=986"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=986"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}