**MuddyWater** APT (también conocido como Seedworm) ha sido identificado como el actor detrás de una campaña reciente que afectó a organizaciones en cuatro continentes durante el primer trimestre de 2026. Los ataques, dirigidos a una diversa gama de industrias, demuestran las tácticas en evolución y la creciente sofisticación del grupo. ### Sectores Afectados La campaña se dirigió a la fabricación industrial y electrónica, organismos educativos y del sector público, servicios financieros y servicios profesionales. Notablemente, un importante fabricante de electrónica de Corea del Sur fue comprometido, y los atacantes mantuvieron acceso a su red durante una semana en febrero de 2026. Otras víctimas incluyeron un aeropuerto internacional en Medio Oriente, fabricantes industriales del Sudeste Asiático y un proveedor de servicios financieros de América Latina. ### Carga Lateral de DLL para Sigilo Los atacantes dependieron en gran medida de técnicas de carga lateral de DLL para ejecutar código malicioso, haciéndose pasar por software legítimo. Se abusó de binarios firmados de **Fortemedia** (fmapp.exe) y **SentinelOne** (sentinelmemoryscanner.exe) para cargar DLL maliciosas. Según los equipos de ciberseguridad de **Broadcom**, el uso de "sentinelmemoryscanner.exe" es una elección deliberada para eludir la detección basada en firmas. Anteriormente, **Group-IB** documentó el uso de "fmapp.exe" para cargar lateralmente "fmapp.dll" en conexión con la campaña **Operation Olalampo** de **MuddyWater**. **Huntress** informó que esta DLL contiene código para conectarse a una dirección IP controlada por el atacante. ### ChromElevator: Robo de Datos del Navegador Ambas DLL incrustaron una herramienta de código abierto llamada **ChromElevator**, diseñada para robar contraseñas, cookies y datos de tarjetas de pago de navegadores basados en Chromium. Esta técnica permite a los atacantes eludir las protecciones de Cifrado Vinculado a Aplicaciones (ABE) en navegadores como **Google Chrome**. ### Node.js y PowerShell para Reconocimiento Un aspecto notable de los ataques es el uso de scripts de Node.js para lanzar código de PowerShell responsable de las operaciones de descubrimiento y recopilación de información. Los datos robados se almacenaron en sendit[.]sh, un servicio público de transferencia de archivos. Investigadores de **Symantec** y **Carbon Black** observaron que se utilizó una cadena de implantes basada en node.exe para desplegar scripts de PowerShell que realizaban reconocimiento, captura de pantallas, robo del volcado SAM, escalada de privilegios y túneles de proxy inverso SOCKS5. ### Movimiento Lateral y Persistencia Los ataques también implicaron el volcado de credenciales para facilitar el movimiento lateral a través de las redes. En la intrusión dirigida al fabricante de electrónica de Corea del Sur, **MuddyWater** realizó repetidamente reconocimiento basado en PowerShell y re-ejecutó los pares de carga lateral de DLL para mantener el acceso. ### Sanciones Iraníes y Actividad Cibernética Amplia El Consejo Europeo impuso recientemente sanciones contra la empresa iraní **Emennet Pasargad** por hackear un servicio de SMS sueco, acceder a una base de datos de suscriptores francesa y difundir desinformación durante los Juegos Olímpicos de París 2024. **Emennet Pasargad**, también conocida como Shahid Shushtari y afiliada al Comando Cibernético-Electrónico de la Guardia Revolucionaria Islámica de Irán (IRGC-CEC), ha sido vinculada a daños financieros significativos y disrupción a empresas y agencias gubernamentales de EE. UU. Los hackers respaldados por Irán también han sido vinculados a una campaña de exfiltración dirigida a organizaciones en EE. UU., Israel, Arabia Saudita y Turquía. Aunque estos incidentes fueron reclamados por una persona pro-iraní llamada **Ababil of Minab**, el análisis de **Gambit Security** ha vinculado la infraestructura de la campaña al Ministerio de Inteligencia y Seguridad de Irán (MOIS). ### FileFiend: Herramienta de Exfiltración La campaña utilizó una herramienta personalizada de C++ para la recopilación y exfiltración de archivos, internamente denominada FileFiend. Esta herramienta podía enumerar unidades locales y recursos compartidos SMB, recorrer el sistema de archivos y enviar archivos a un servidor C2 codificado. Alternativamente, los datos de interés se comprimieron en archivos RAR y se subieron al sitio web público de la organización, desde donde se extrajeron utilizando el acelerador de descargas de línea de comandos Axel y se tunelizaron a través de proxychains.