**MuddyWater**, un grupo APT con vínculos con Irán, está activamente involucrado en una amplia campaña de ciberespionaje dirigida a una diversa gama de organizaciones a nivel mundial. Las víctimas incluyen un importante fabricante de electrónica surcoreano, agencias gubernamentales, un aeropuerto internacional en Medio Oriente, fabricantes industriales en Asia e instituciones educativas. Investigadores de **Symantec** informan que el actor de amenazas mantuvo acceso a la red de un importante fabricante de electrónica surcoreano durante aproximadamente una semana en febrero de 2026. Los objetivos del grupo parecen ser impulsados por inteligencia, centrándose en el robo de propiedad industrial e intelectual, espionaje gubernamental y obtención de acceso a clientes posteriores o redes corporativas. ### Abuso de Fortemedia y SentinelOne La campaña de Seedworm se basa en gran medida en DLL sideloading, una técnica donde el software legítimo y firmado se manipula para cargar DLL maliciosas. Esto permite a los atacantes eludir las medidas de seguridad y ejecutar código dentro de un proceso de confianza. Dos binarios legítimos abusados en esta campaña son 'fmapp.exe', una utilidad de audio legítima de **Fortemedia**, y 'sentinelmemoryscanner.exe', un componente de **SentinelOne**. Las DLL maliciosas (fmapp.dll y sentinelagentcore.dll) contenían **ChromElevator**, una herramienta de post-explotación fácilmente disponible diseñada para robar datos almacenados en navegadores basados en Chrome. **Symantec** también observó el uso continuo de PowerShell, consistente con ataques anteriores de Seedworm. Sin embargo, en estos incidentes recientes, los payloads de PowerShell se controlan a través de cargadores Node.js en lugar de la ejecución directa. PowerShell se utiliza para diversas actividades maliciosas, incluida la captura de capturas de pantalla, reconocimiento, obtención de payloads adicionales, establecimiento de persistencia, robo de credenciales y creación de túneles SOCKS5. ### Ataque a una empresa coreana Según el análisis de **Symantec**, el ataque al fabricante de electrónica surcoreano se extendió del 20 al 27 de febrero. El nombre de la organización objetivo no fue revelado. Las etapas iniciales del ataque implicaron reconocimiento de hosts y dominios, seguido de enumeración de antivirus a través de WMI, captura de capturas de pantalla y despliegue de malware adicional. El robo de credenciales se logró a través de falsas indicaciones de Windows, robo de colmenas de registro (SAM/SECURITY/SYSTEM) y el uso de herramientas de abuso de tickets Kerberos. La persistencia se estableció a través de modificaciones del registro, con beaconing ocurriendo a intervalos de 90 segundos. Los binarios cargados de forma lateral se relanzaron repetidamente para mantener el acceso persistente. "La cadencia es nuevamente consistente con la actividad impulsada por implantes en lugar de una presencia continua del operador", señalaron los investigadores. Los atacantes utilizaron sendit.sh, un servicio público de intercambio de archivos, para la exfiltración de datos, probablemente para ofuscar la actividad maliciosa y mezclarla con el tráfico de red normal. En general, **Symantec** destaca que la última campaña de Seedworm es notable por su expansión geográfica, madurez operativa y el abuso de herramientas y servicios legítimos, lo que indica un cambio hacia métodos de ataque más sigilosos y sofisticados.  ## El 99% de lo que Mythos encontró sigue sin parchear. AI encadenó cuatro zero-days en un exploit que eludió los sandboxes del renderizador y del sistema operativo. Se avecina una ola de nuevos exploits. En la Cumbre de Validación Autónoma (12 y 14 de mayo), vea cómo la validación autónoma y rica en contexto encuentra lo que es explotable, demuestra que los controles se mantienen y cierra el ciclo de remediación. [Reclama tu lugar](https://hubs.li/Q04crVgD0)