Los equipos de ciberseguridad de todo el mundo observan con creciente inquietud una campaña que emplea una fachada clásica para ocultar un conjunto de herramientas avanzadas. Detrás de una apariencia tan inocente como un juego retro se oculta una operación de ciberataque y espionaje digital con un nivel técnico inusual, activa en territorios especialmente sensibles desde el punto de vista geopolítico.
Lo que parecía un simple archivo lúdico descargado por error se ha convertido en una puerta de entrada para comprometer redes críticas.
El descubrimiento ha permitido reconstruir una cadena de ataque que explota mecanismos familiares, pero con una sofisticación que revela una evolución clara de sus responsables. Organizaciones de distintos sectores en Israel y una víctima confirmada en Egipto han sido objetivo de una campaña que combina herramientas inéditas, tácticas avanzadas de evasión y un uso estratégico de protocolos de comunicación y cifrado para permanecer oculta durante semanas.
Un camuflaje inspirado en un clásico
La investigación que destapó esta amenaza señaló el uso de un loader llamado Fooder, diseñado para hacerse pasar por el emblemático juego Snake y ganar así la confianza del usuario.
Su propósito no se limita a engañar: carga de manera reflexiva en memoria un backdoor de nueva generación llamado MuddyViper, lo que le permite evitar la escritura de archivos visibles en disco y complicar la labor de análisis forense.
El archivo incorpora además un retardo ejecutado mediante llamadas frecuentes a funciones de pausa, un comportamiento que entorpece a los sistemas automatizados encargados de examinar la actividad maliciosa.
Los objetivos del ciberataques en Israel pertenecen a sectores especialmente sensibles, como tecnología, ingeniería, fabricación, administración local y educación. El despliegue de MuddyViper concedió a los atacantes la capacidad de recopilar información del sistema, ejecutar órdenes, mover archivos de forma discreta y extraer credenciales tanto de Windows como de navegadores modernos.
Para completar este proceso, la campaña utilizó varias utilidades dedicadas al robo de datos, cada una especializada en una etapa del proceso de sustracción y verificación.
Procedencia, técnicas y evolución del grupo atacante
El origen de la operación se atribuye a un grupo de ciberespionaje y ciberataques con actividad documentada desde 2017, caracterizado por su orientación hacia objetivos estratégicos en Oriente Medio y por el uso combinado de malware propio y herramientas públicas modificadas.
Su historial recoge operaciones prolongadas, campañas dirigidas contra organismos gubernamentales y ataques a proveedores de servicios tecnológicos con la intención de afectar a cadenas de suministro completas. Un solo nombre profesional aparece en toda esta investigación: ESET, que ha documentado la campaña y sus particularidades sin precedentes.
Uno de los rasgos que más ha llamado la atención de los analistas es la adopción de la API criptográfica CNG de Windows, un recurso avanzado que raramente se observa en operaciones de este tipo y que demuestra una clara madurez técnica.
Asimismo, los operadores han evitado ciberataques que generen trazas evidentes, como comandos mal introducidos durante sesiones interactivas, lo que reduce la probabilidad de dejar indicios comprometedores en los registros del sistema.
Un acceso inicial basado en engaños dirigidos
El punto de entrada en la mayoría de los ciberataques se logró mediante correos de spearphishing que imitaban comunicaciones legítimas e incluían documentos PDF con enlaces a instaladores de herramientas de gestión remota.
La descarga procedía de servicios gratuitos de intercambio de archivos y transportaba utilidades como Atera, PDQ o SimpleHelp, empleadas habitualmente con fines legítimos. Su uso permitió al atacante ejecutar acciones de administración sin levantar sospechas.
Entre los componentes de esta campaña de ciberataques destaca también el backdoor VAX-One, diseñado para disfrazarse de software ampliamente reconocido en entornos corporativos. Su objetivo es pasar inadvertido mediante una identidad visual que se confunde con la de aplicaciones reales, lo que dificulta distinguirlo en auditorías rápidas o durante revisiones manuales de programas instalados.
Un ciberataque que refleja la evolución del espionaje digital
Las actividades de este grupo en los últimos años muestran una transición desde técnicas rudimentarias hacia un ecosistema más modular y flexible en ciberataques. En campañas anteriores se han observado operaciones de varias fases dirigidas a entidades gubernamentales y telecomunicaciones, así como ataques orientados a obtener presencia en regiones con relevancia estratégica.
Más recientemente, algunas de sus operaciones han coincidido con la actividad de otros equipos afines, lo que sugiere una posible cooperación o reparto táctico de responsabilidades.
El ciberataque que utiliza un juego como señuelo confirma que la ingeniería social sigue siendo una de las herramientas más eficaces para comprometer infraestructuras críticas. En un contexto de creciente tensión geopolítica, la combinación de técnicas avanzadas, cifrado moderno y herramientas camufladas supone un desafío significativo para los equipos defensivos.
La capacidad de evolución del grupo, así como su habilidad para integrar nuevas funciones en sus campañas, anticipa un escenario en el que la vigilancia técnica y la formación del personal serán claves para reducir riesgos.
