MuddyWater (Seedworm) wraca z Dindoor: nowy backdoor (Deno) uderza w organizacje w USA

Wprowadzenie do problemu / definicja luki

W pierwszych dniach marca 2026 r. badacze powiązali świeżą falę intruzji w sieciach organizacji w USA z irańską grupą APT MuddyWater (znaną też jako Seedworm). Wyróżnikiem kampanii jest Dindoor — wcześniej nieopisywany backdoor, który do wykonywania kodu wykorzystuje Deno (runtime dla JavaScript/TypeScript). W praktyce to nie „jedna luka”, tylko pełny łańcuch ataku: wejście do sieci (nieujawnione/niepotwierdzone), utrzymanie dostępu (backdoor), a następnie próby działań post-eksploatacyjnych i eksfiltracji danych.

W skrócie

• Kto? MuddyWater / Seedworm – grupa oceniana jako powiązana z irańskim MOIS.
• Kogo atakowano? M.in. bank w USA, lotnisko w USA, organizacje non-profit oraz izraelski oddział amerykańskiej firmy software’owej (dostawca dla sektorów obronnego i lotniczego).
• Co wdrożono? Nowy backdoor Dindoor (Deno) oraz osobno Fakeset (Python).
• Co z eksfiltracją? Zaobserwowano próbę użycia rclone do przerzutu danych do bucketa w chmurze Wasabi (skuteczność niepotwierdzona publicznie).
• Co utrudnia detekcję? „Nowość” rodzin malware + użycie legalnych narzędzi (np. rclone) i podpisywanie próbek certyfikatami.

Kontekst / historia / powiązania

MuddyWater działa co najmniej od 2017 r., a jego profil to głównie cyberespionage przeciw administracji i firmom (telekomunikacja, sektor publiczny, energia/ropa i gaz), w różnych regionach – od Bliskiego Wschodu po Amerykę Północną.

Wątek „państwowy” jest wzmacniany przez publiczne atrybucje i raporty partnerskie organów cyberbezpieczeństwa (m.in. materiały dystrybuowane przez brytyjskie NCSC w formie wspólnych opracowań/alertów dot. MuddyWater).

Analiza techniczna / szczegóły luki

Dindoor: backdoor oparty o Deno (JS/TS runtime)

Z publicznych opisów wynika, iż Dindoor to backdoor uruchamiany z użyciem Deno, co jest nietypowe w porównaniu z „klasycznymi” implantami pisanymi w C/C++ lub .NET. Taki wybór technologii ma dwie konsekwencje obronne:

1. Inny profil telemetryczny – Deno nie jest tak powszechny jak PowerShell czy Python w środowiskach enterprise, więc może „wybijać się” jako anomalia albo odwrotnie: zginąć w szumie, jeżeli organizacja nie ma reguł na nowe runtime’y.
2. Szybka iteracja – JS/TS sprzyja szybkiemu rozwojowi modułów (komendy, pobieranie plików, komunikacja z C2), co zwykle oznacza krótszy czas od kompromitacji do gotowej automatyzacji działań post-exploitation.

Dindoor miał być podpisany certyfikatem wystawionym na „Amy Cherne”. Podpisywanie malware to klasyczna technika podnosząca „wiarygodność” binariów i utrudniająca część kontroli aplikacyjnych, jeżeli organizacja nadmiernie ufa podpisom.

Fakeset: osobny backdoor w Pythonie + dystrybucja z chmury

W tej samej fali intruzji wykryto także Fakeset (Python), obserwowany m.in. w sieciach lotniska i NGO. Opisy wskazują na hostowanie/dystrybucję z infrastruktury chmurowej (Backblaze) oraz na użycie certyfikatów „Amy Cherne” i „Donald Gay” (ten drugi łączony historycznie z aktywnością Seedworm).

Eksfiltracja: rclone → Wasabi

Badacze odnotowali próbę eksfiltracji danych z wykorzystaniem rclone do bucketa Wasabi. rclone jest legalnym narzędziem administracyjnym, często nadużywanym przez APT/ransomware właśnie dlatego, iż „wygląda jak IT”.

Praktyczne konsekwencje / ryzyko

• Ryzyko szpiegostwa i kradzieży danych: sektor finansowy, infrastruktura lotniskowa i dostawcy dla obronności/lotnictwa to cele o wysokiej wartości informacyjnej.
• Ryzyko działań destrukcyjnych: publiczne komentarze badaczy podkreślają, iż część irańskich operacji cyklicznie przechodzi w tryb „message sending”, gdzie liczy się efekt, nie tylko cichy wyciek. To zwiększa prawdopodobieństwo sabotażu także w podmiotach „pobocznych”.
• Trudniejsza detekcja sygnaturowa: nowe rodziny + nietypowy runtime (Deno) + legalne narzędzia (rclone) = większa rola EDR, telemetryki procesów i korelacji zdarzeń.

Rekomendacje operacyjne / co zrobić teraz

Szybkie działania (24–72h)

1. Hunting na Deno i nietypowe uruchomienia JS/TS runtime
   • Sprawdź, czy Deno w ogóle powinno istnieć w Twojej flocie; jeżeli nie — potraktuj wystąpienia jako wysokopriorytetowe anomalie.
2. Wykrywanie nadużyć rclone
   • Alertuj na uruchomienia rclone z serwerów plików, hostów z danymi wrażliwymi oraz na połączenia do usług storage spoza standardowego profilu organizacji (tu: Wasabi).
3. Kontrola podpisów i zaufania do certyfikatów
   • Zweryfikuj, czy w politykach allow-listing/WDAC/AppLocker nie ma „ślepej wiary” w podpis. W tym case’ie malware było podpisywane certyfikatami wskazywanymi w raportach („Amy Cherne”, „Donald Gay”).
4. Przegląd pobrań z nietypowych źródeł chmurowych
   • Skoreluj pobrania i uruchomienia plików z usług typu Backblaze (szczególnie na hostach, gdzie to nie jest standard).

Działania wzmacniające (1–4 tygodnie)

• Egress control i proxy z pełnym logowaniem: ogranicz bezpośredni ruch do chmur storage, wprowadź reguły „known-good” dla usług transferu danych.
• Segmentacja i minimalizacja uprawnień: utrudnia lateral movement i masową eksfiltrację.
• Ćwiczenia IR na scenariusz APT: w tym „pre-positioning” (obecność w sieci przed eskalacją konfliktu), które w tym case’ie było podkreślane przez badaczy.

Różnice / porównania z innymi przypadkami

• Nietypowy stos technologiczny (Deno) vs. częstsze implanty oparte o PowerShell/.NET: zmienia to listę „oczywistych” telemetryk do monitorowania i może omijać gotowe reguły nastawione na klasyczne TTP.
• Model „dual tooling”: równoległe użycie dwóch backdoorów (Dindoor i Fakeset) sugeruje elastyczność operatora i testowanie, co „przechodzi” w danej sieci.
• Silny nacisk na podpisywanie próbek: to element często spotykany w kampaniach, gdzie atakujący liczy na przejście przez kontrole aplikacyjne i wzbudzenie mniejszej podejrzliwości SOC.

Podsumowanie / najważniejsze wnioski

Dindoor to kolejny sygnał, iż MuddyWater/Seedworm potrafi gwałtownie adaptować narzędzia i wchodzić w środowiska o wysokiej wartości (finanse, lotniska, NGO, łańcuch dostaw dla obronności). Obrona nie powinna opierać się wyłącznie o IOC-y czy sygnatury: najważniejsze będzie polowanie na nietypowe runtime’y (Deno), nadużycia rclone oraz kontrola egress do chmur storage. Równolegle warto odświeżyć mapowanie TTP MuddyWater w MITRE ATT&CK i porównać je z własną telemetryką oraz pokryciem detekcji.

Źródła / bibliografia

1. Security Affairs – opis kampanii i streszczenie ustaleń Broadcom/Symantec (06.03.2026). (Security Affairs)
2. SecurityWeek – omówienie celów i artefaktów (06.03.2026). (SecurityWeek)
3. Help Net Security – elementy techniczne: Deno/Dindoor, Fakeset, certyfikaty, rclone/Wasabi (06.03.2026). (Help Net Security)
4. MITRE ATT&CK – profil grupy MuddyWater (G0069) i kontekst TTP (aktualizacje do 22.10.2025). (MITRE ATT&CK)
5. NCSC (UK) – wspólny alert/advisory dot. MuddyWater i materiały referencyjne (24.02.2022). (NCSC)