Hoạt động ít nhất từ năm 2017 và còn được theo dõi với tên gọi Mango Sandstorm, Mercury, Seedworm và Static Kitten, nhóm tin tặc này được biết đến với việc thực hiện các hoạt động gián điệp tập trung vào Trung Đông. Mỹ xác định MuddyWater có liên quan đến Bộ Tình báo và An ninh Iran (MOIS).

Thời điểm một tuần sau khi xung đột Israel - Iran bắt đầu, các tin tặc MuddyWater đã phát triển các biến thể mới của DCHSpy, chúng ngụy trang thành VPN hoặc ứng dụng ngân hàng, bằng cách sử dụng các chiêu trò liên quan đến chính trị để tấn công mục tiêu.

Trong một báo cáo mới, Lookout giải thích rằng DCHSpy có khả năng được MuddyWater phát triển và duy trì cho mục đích giám sát, đồng thời chia sẻ cơ sở hạ tầng với SandStrike - một phần mềm gián điệp Android khác có liên quan đến nhóm gián điệp này. Các nhà nghiên cứu đã phân tích một mẫu SandStrike chứa tệp cấu hình VPN độc hại kết nối đến cơ sở hạ tầng của MuddyWater. Phần mềm độc hại này được sử dụng để triển khai MuddyWater PowerShell RAT.

Lookout lưu ý: “DCHSpy sử dụng các chiến thuật và cơ sở hạ tầng tương tự như SandStrike. Phần mềm độc hại này được phân phối đến các nhóm và cá nhân mục tiêu bằng cách tận dụng các URL giả mạo chia sẻ trực tiếp qua các ứng dụng nhắn tin như Telegram”.

Từ các thiết bị bị lây nhiễm, phần mềm độc hại dạng mô-đun có thể thu thập tài khoản người dùng, danh bạ, tin nhắn SMS, tệp lưu trữ cục bộ, dữ liệu vị trí, nhật ký cuộc gọi và thông tin WhatsApp. Ngoài ra, nó cũng có thể chiếm quyền điều khiển micrô cũng như camera để ghi âm và chụp ảnh. Thông tin thu thập được sẽ được nén, mã hóa bằng mật khẩu nhận được từ máy chủ điều khiển và ra lệnh (C2) của kẻ tấn công, sau đó tải lên máy chủ SFTP.

Đáng chú ý, kể từ khi bắt đầu cuộc xung đột Israel - Iran diễn ra, các phiên bản DCHSpy đã phân phối dưới tên gọi khác nhau như: Earth VPN, Comodo VPN, Hide VPN và Hazrat Eshq, chúng quảng cáo trên nhiều kênh Telegram với những hội nhóm tiếng Anh và tiếng Ba Tư.

Lookout lưu ý, một trong những mẫu Earth VPN được phân phối bằng cách sử dụng mồi nhử Starlink, có khả năng lợi dụng báo cáo gần đây về Starlink cung cấp dịch vụ Internet cho người dân Iran, trong thời điểm mất kết nối Internet do Chính phủ Iran áp đặt lệnh cấm sau các cuộc giao tranh giữa Israel và Iran.

Cho đến nay, các nhà nghiên cứu đã xác định được 17 nhóm phần mềm độc hại trên thiết bị di động mà ít nhất 10 nhóm tin tặc APT của Iran đã sử dụng trong các cuộc tấn công gián điệp.

Lookout nhấn mạnh, những biến thể DCHSpy gần đây nhất cho thấy sự phát triển và sử dụng liên tục của phần mềm gián điệp, trong bối cảnh tình hình ở Trung Đông diễn biến hết sức phức tạp và khó lường.