گروه هکری ایرانی معروف به MuddyWater، دربپشتی جدید UDPGangster را به کار گرفته است که از پروتکل داده کاربر (UDP) برای اهداف فرماندهی و کنترل (C2) بهره میبرد.
طبق گزارش Fortinet FortiGuard Labs، این فعالیت جاسوسی سایبری کاربران ترکیه، اسرائیل و آذربایجان را هدف قرار داده است. بدافزار UDPGangster با اجازه دادن به مهاجمان برای اجرای دستورات، استخراج فایلها و استقرار پیلودهای جانبی، امکان کنترل از راه دور سیستمهای آسیبپذیر را فراهم میکند. همه اینها از طریق کانالهای UDP که برای فرار از دفاعهای سنتی شبکه طراحی شدهاند، منتقل میشوند. این زنجیره حمله شامل استفاده از تاکتیکهای فیشینگ نیزهای برای توزیع اسناد مایکروسافت ورد تلهگذاری شده است که پس از فعال شدن ماکروها، باعث اجرای پیلود مخرب میشود.
برخی از پیامهای فیشینگ وانمود میکنند که از سوی وزارت امور خارجه جمهوری ترک قبرس شمالی، گیرندگان را به سمینار آنلاین «انتخابات و نتایج ریاست جمهوری» دعوت میکنند. ایمیلها حاوی فایل زیپ و سند ورد پیوست بودند که با باز کردن فایل ورد از کاربران خواسته میشود ماکروهایی را فعال کنند تا به طور مخفیانه کد VBA جاسازی شده را اجرا کنند. از سوی دیگر، اسکریپت VBA در فایل دراپر مجهز به پنهان کردن هرگونه نشانهای از فعالیت مخرب است و تصویر جعلی به زبان عبری از ارائه دهنده خدمات مخابراتی اسرائیلی Bezeq در مورد دورههای قطع احتمالی در هفته اول نوامبر 2025 در شهرهای مختلف کشور نمایش میدهد.
این ماکرو از رویداد ()Document_Open برای اجرای خودکار، رمزگشایی دادههای رمزگذاریشده با Base64 از یک فیلد فرم پنهان و نوشتن محتوای رمزگشاییشده در C:\Users\Public\ui.txt استفاده میکند. سپس این فایل را با استفاده از API CreateProcessA ویندوز اجرا میکند و پیلود داده UDPGangster را راهاندازی میکند. UDPGangster از طریق تغییرات رجیستری ویندوز، پایداری خود را ایجاد میکند و از بررسیهای مختلف ضد تجزیه و تحلیل برای مقاومت در برابر تلاشهای محققان امنیتی برای تجزیه و تحلیل آن، بهره میبرد.
https://www.fortinet.com/blog/threat-research/udpgangster-campaigns-target-multiple-countries
https://thehackernews.com/2025/12/muddywater-deploys-udpgangster-backdoor.html
