Článek
Kampaň probíhá od začátku února 2026 a cíle zahrnují americkou banku, letiště, neziskové organizace v USA i Kanadě a izraelskou pobočku americké softwarové společnosti, která dodává technologie do obranného a leteckého průmyslu.
Výzkumníci z týmu Symantec a Carbon Black Threat Hunter společnosti Broadcom odhalili, že útočníci si v sítích obětí vybudovali pevné zázemí ještě před eskalací vojenského konfliktu.
Stěžejním nástrojem této operace je dosud neznámý backdoor nazvaný Dindoor. Dindoor ke svému běhu využívá Deno, runtime prostředí pro JavaScript a TypeScript. Jde o pozoruhodný technický krok, namísto tradičního kompilovaného malwaru útočníci zvolili legitimní vývojářský nástroj, čímž záměrně ztěžují detekci na koncových bodech.
Vedle Dindooru byl na sítích amerického letiště a neziskové organizace objeven druhý nástroj, backdoor napsaný v Pythonu s názvem Fakeset. Fakeset byl podepsán certifikáty na jména „Amy Cherne“ a „Donald Gay“, přičemž certifikát na jméno Donald Gay byl v minulosti použit k podpisu malwaru Stagecomp a Darkcomp, které bezpečnostní firmy Google, Microsoft a Kaspersky dříve přisoudily skupině MuddyWater.
Skupina například v minulosti prokázala schopnost zneužít kompromitované kamery k přímé podpoře svých operací. V květnu 2025 MuddyWater převzal kontrolu nad serverem se záznamy z bezpečnostních kamer v Jeruzalémě a íránské síly záhy zahájily raketový útok na město.
