伊朗駭客MuddyWater入侵美國銀行與機場網路，部署Dindoor與Fakeset後門程式

在美國與以色列聯手，以推動伊朗的政權更替等目標發動軍事攻擊，迄今超過一週，然而近期有資安公司指出，伊朗駭客在此之前就鎖定美國企業組織從事網路間諜活動。

賽門鐵克與Carbon Black威脅獵捕團隊揭露，與伊朗政府有關的駭客組織MuddyWater（Seedworm、Static Kitten、Temp Zagros），約從2月初入侵美國與加拿大多個機構的網路環境，並部署兩款新的後門程式Dindoor與Fakeset，試圖建立長期存取權限，並透過雲端儲存服務進行資料外傳。

這波攻擊活動約從2026年2月初開始，部分受害機構在2月7日與14日遭到入侵。由於相關行動發生在美國與以色列對伊朗軍事行動前後，研究人員推測駭客可能提前滲透，以便在地緣政治衝突升溫之後，保有攻擊與情報蒐集能力。

在此次攻擊中，研究人員發現兩種新的後門程式。其中，Dindoor是利用Deno執行環境開發的惡意程式，Deno是提供執行JavaScript與TypeScript程式碼的執行環境。由於此類環境較少被用於惡意程式開發，駭客可能藉此降低被資安工具偵測的機率。調查顯示，Dindoor主要出現在美國銀行、加拿大非營利組織，以及美國軟體公司位於以色列的據點。

另一款後門程式Fakeset以Python撰寫，駭客用於攻擊美國機場與非營利組織的活動，藉此在受害系統執行指令、上傳或下載檔案，甚至在企業網路中進一步橫向移動。

分析惡意程式檔案後，研究人員發現，部分程式檔案使用與MuddyWater過去攻擊相關的數位憑證，進行簽署，包括名為Amy Cherne與Donald Gay的憑證，這是認定此次攻擊活動與該組織高度相關的重要依據。

此外，駭客使用檔案同步工具Rclone，嘗試將資料同步至雲端儲存服務Wasabi。究竟是否有資料外流？目前研究人員尚未確認。

除了MuddyWater外，多個伊朗駭客團體的活動，近期也有所增加。例如名為Handala的駭客組織，宣稱入侵以色列能源與醫療機構並外洩資料，並透過社群媒體發布相關資訊。