O grupo iraniano MuddyWater foi associado a uma nova campanha de espionagem cibernética que atingiu ao menos nove organizações em nove países durante o primeiro trimestre de 2026.
A operação afetou vítimas em quatro continentes e teve como foco roubo de dados e manutenção de acesso em redes corporativas.
Segundo pesquisadores da Symantec e da Carbon Black, os alvos incluíram manufatura industrial e eletrônica, educação, órgãos públicos, serviços financeiros e empresas de serviços profissionais.
Entre as vítimas está uma grande fabricante de eletrônicos da Coreia do Sul, onde os invasores permaneceram por cerca de uma semana em fevereiro.
A campanha se destacou pelo uso intenso de DLL side-loading, técnica que executa bibliotecas maliciosas por meio de binários legítimos e assinados.
Os atacantes abusaram de arquivos associados à Fortemedia e à SentinelOne para carregar DLLs adulteradas enquanto se passavam por softwares confiáveis.
O vetor inicial de acesso não foi identificado, mas os pesquisadores observaram reexecução periódica dos binários para manter presença nos sistemas comprometidos.
O comportamento sugere uma operação mais disciplinada, com menor dependência de interação constante dos operadores.
