MuddyWater recurre al malware como servicio ruso en la nueva campaña ChainShell
Resumen Informativo
De acuerdo a la publicación titulada MuddyWater recurre al malware como servicio ruso en la nueva campaña ChainShell, difundida en fecha 10/04/2026 10:16, por el medio Cybersecuritynews (Autor: Tushar Subhra Dutta):
El grupo de piratería informática respaldado por el Estado iraní, MuddyWater, ha realizado un cambio operativo decisivo al adoptar una plataforma de malware como servicio construida en Rusia para impulsar una nueva campaña contra objetivos israelíes. La operación, construida en torno a una herramienta previamente desconocida llamada ChainShell, marca una clara desviación de la dependencia anterior del grupo de herramientas desarrolladas a medida y plantea nuevas preocupaciones para las organizaciones en sectores críticos en todo el mundo.
La plataforma detrás de estas capacidades pertenece a TAG-150, un grupo cibercriminal de habla rusa que ejecuta un servicio modular multiinquilino llamado CastleRAT. Los analistas de JumpSEC rastrearon el vínculo con esta plataforma rusa a través de un servidor C2 mal configurado, 15 muestras de malware y una novedosa payload ejecutable de Windows. En lugar de retroceder, MuddyWater siguió adelante: el 11 de marzo se compilaron nuevos instaladores de entrega, el 16 de marzo apareció malware JavaScript actualizado y el 20 de marzo se detectó un nuevo señuelo basado en macros contactando la infraestructura de MuddyWater, lo que confirma que el grupo permaneció activo mucho más allá del punto de detección. Mecanismo de infección y diseño de evasión de ChainShell El elemento técnicamente más distintivo de esta campaña es ChainShell, un agente basado en Node.js que resuelve su dirección de comando y control directamente desde un contrato inteligente de Ethereum a través de 10 Proveedores de RPC. Variables C2 de Blockchain y dirección de contrato inteligente (Fuente: JumpSEC) A diferencia del malware convencional que se basa en dominios fijos o direcciones IP, la ubicación C2 de ChainShell reside en la cadena de bloques, lo que hace que el sumidero o el bloqueo de IP sean en gran medida ineficaces contra ella.
ChainShell llega a la máquina de la víctima a través de reset.ps1, un implementador de PowerShell que se encuentra en el servidor C2 atribuido a MuddyWater. La publicación MuddyWater recurre al malware como servicio ruso en la nueva campaña ChainShell apareció por primera vez en Cyber Security News.
| Fuente: | Cybersecuritynews |
| Título original: | MuddyWater recurre al malware como servicio ruso en la nueva campaña ChainShell |
| Publicado: | 10/04/2026 10:16 |
| Enlace: | https://cybersecuritynews.com/muddywater-turns-to-russian-malware-as-a-service |
| Consultado: | 10/04/2026 |
