Иранские хакеры MuddyWater атакуют США новым бэкдором Dindoor

Иранская хакерская группа MuddyWater запустила новую кампанию кибератак против американских компаний. В них используется свежий бэкдор Dindoor, с которым исследователи не сталкивались ранее. Атаки стартовали в начале февраля и продолжились даже после ударов по Ирану.

MuddyWater работает с 2017 года, её связывают с Министерством разведки и безопасности Ирана. У группировки есть много псевдонимов, например, Seedworm, Temp Zagros, Static Kitten, Stagecomp и Darkcomp.

Команда Threat Hunter Team выпустила отчёт 5 марта 2026 года. Специалисты отметили, что обнаруженные атаки удалось остановить, но другие организации всё ещё могут быть под угрозой. Хакеры атаковали банк, аэропорт и некоммерческую организацию в США и Канаде, а также израильский филиал американской софтверной компании, которая работает с оборонной и аэрокосмической отраслями.

Вредоносное ПО, обнаруженное в сетях израильского подразделения софтверной компании, американского банка и канадской некоммерческой организации, подписано сертификатом на имя Amy Cherne. Для работы программа использует Deno — защищённую среду выполнения для JavaScript и TypeScript.

Хакеры попытались скопировать данные софтверной компании, для чего задействовали утилиту Rclone. Скопированные файлы злоумышленники пытались разместить в облачном хранилище Wasabi. Увенчалась ли данная попытка успехом, осталось неясным.

В сети американского аэропорта обнаружили другой бэкдор — Fakeset на Python. Его подписали сразу двумя сертификатами с именами Amy Cherne и Donald Gay. Само вредоносное ПО было загружено с серверов облачного сервиса Backblaze.

Сертификат Donald Gay ранее использовали для подписи вредоносного ПО, связанного с MuddyWater. Тем же сертификатом подписывали образцы ВПО Stagecomp, которое, в свою очередь, используется для загрузки бэкдора Darkcomp.