Acqua fangosa
MuddyWater è un gruppo di spionaggio informatico legato all'Iran attivo almeno dal 2017, noto per aver preso di mira i settori governativi, delle telecomunicazioni, della difesa e dell'energia a livello globale attraverso sofisticate tecniche di phishing e di sfruttamento.
L'origine di MuddyWater
MuddyWater, noto anche come STATIC KITTEN, Earth Vetala, MERCURY, Seedworm, Mango Sandstorm e TEMP.Zagros, è un gruppo di minacce persistenti avanzate (APT) identificato come parte del Ministero dell'Intelligence e della Sicurezza iraniano (MOIS). Attivo almeno dal 2017, MuddyWater è specializzato in operazioni di spionaggio informatico e utilizza una varietà di tecniche sofisticate e malware personalizzati per le sue campagne. Il gruppo è particolarmente adattivo, evolvendo costantemente tattiche e malware per eludere il rilevamento e le difese.
Paesi destinatari
Le vittime di MuddyWater si estendono a livello globale, in particolare in Medio Oriente, Eurasia e Asia centrale, prendendo di mira soprattutto Turchia, Tagikistan, Paesi Bassi, Azerbaijan, Armenia, Pakistan, Iraq, Oman, Arabia Saudita, Emirati Arabi Uniti, Siria, Afghanistan, India, Giordania, Israele, Palestina, Turkmenistan, Georgia, Malta, Germania e Stati Uniti. Una tale diversità geografica dimostra le loro vaste campagne di spionaggio internazionale.
Industrie mirate
MuddyWater ha condotto operazioni contro diversi settori, tra cui enti governativi, organizzazioni militari, telecomunicazioni, università, petrolio e gas, aviazione, sanità, ONG, tecnologia, servizi finanziari, ospitalità, agricoltura, energia, prodotti farmaceutici, settore immobiliare, aerospaziale e governi locali. L'ampiezza degli obiettivi indica un interesse strategico nei settori critici per le infrastrutture nazionali e il controllo delle informazioni.
Vittime conosciute
Tra gli attacchi specifici noti vi sono le recenti campagne (2025) contro diverse istituzioni accademiche israeliane, che riflettono un interesse costante per le dinamiche politiche mediorientali. Inoltre, organizzazioni governative, della difesa, delle telecomunicazioni e dell'energia in vari Paesi sono state ripetutamente prese di mira nel corso della storia operativa del gruppo.
Metodo di attacco di MuddyWater
Principalmente tramite e-mail mirate di phishing (allegati o link dannosi), account di terze parti compromessi o sfruttamento di vulnerabilità note nei prodotti Microsoft Exchange e Office.
MuddyWater abusa dei meccanismi di controllo dell'account utente (UAC) ed esegue tecniche di side-loading di DLL per ottenere un accesso elevato.
Implementa metodi di offuscamento tra cui la codifica Base64, la steganografia e l'utilizzo di strumenti legittimi (LOLBins) come CMSTP, Mshta e Rundll32.
Utilizza strumenti di dumping delle credenziali come Mimikatz, LaZagne e Browser64 per estrarre le credenziali dalla memoria di LSASS, dai browser Web, dai client di posta elettronica e dalle credenziali di dominio memorizzate nella cache.
Utilizza script e malware personalizzati per l'enumerazione degli account, la scansione di file e directory e la scoperta di software, compresi i prodotti di sicurezza.
Utilizza soluzioni di accesso remoto legittime come Remote Utilities, SimpleHelp, Atera Agent e ScreenConnect per muoversi lateralmente all'interno di reti compromesse.
L'acquisizione di schermate e l'archiviazione a tappe dei dati tramite utility native (makecab.exe) sono pratiche standard.
Distribuisce payload eseguiti tramite PowerShell, Windows Command Shell, VBScript, Python, JavaScript e sfruttando strumenti di accesso remoto.
Esfiltra i dati tramite canali di comando e controllo (C2) utilizzando comunicazioni criptate e offuscate su protocolli HTTP/DNS.
L'obiettivo principale è lo spionaggio informatico con conseguente furto di informazioni sensibili, strategiche e classificate piuttosto che attacchi dirompenti.
Principalmente tramite e-mail mirate di phishing (allegati o link dannosi), account di terze parti compromessi o sfruttamento di vulnerabilità note nei prodotti Microsoft Exchange e Office.
MuddyWater abusa dei meccanismi di controllo dell'account utente (UAC) ed esegue tecniche di side-loading di DLL per ottenere un accesso elevato.
Implementa metodi di offuscamento tra cui la codifica Base64, la steganografia e l'utilizzo di strumenti legittimi (LOLBins) come CMSTP, Mshta e Rundll32.
Utilizza strumenti di dumping delle credenziali come Mimikatz, LaZagne e Browser64 per estrarre le credenziali dalla memoria di LSASS, dai browser Web, dai client di posta elettronica e dalle credenziali di dominio memorizzate nella cache.
Utilizza script e malware personalizzati per l'enumerazione degli account, la scansione di file e directory e la scoperta di software, compresi i prodotti di sicurezza.
Utilizza soluzioni di accesso remoto legittime come Remote Utilities, SimpleHelp, Atera Agent e ScreenConnect per muoversi lateralmente all'interno di reti compromesse.
L'acquisizione di schermate e l'archiviazione a tappe dei dati tramite utility native (makecab.exe) sono pratiche standard.
Distribuisce payload eseguiti tramite PowerShell, Windows Command Shell, VBScript, Python, JavaScript e sfruttando strumenti di accesso remoto.
Esfiltra i dati tramite canali di comando e controllo (C2) utilizzando comunicazioni criptate e offuscate su protocolli HTTP/DNS.
L'obiettivo principale è lo spionaggio informatico con conseguente furto di informazioni sensibili, strategiche e classificate piuttosto che attacchi dirompenti.
TTP utilizzati da MuddyWater
Come rilevare l'acqua fangosa con Vectra AI
Elenco dei rilevamenti disponibili nella piattaforma Vectra AI che indicano un attacco APT.
DOMANDE FREQUENTI
Chi c'è dietro MuddyWater?
MuddyWater è attribuito al Ministero dell'Intelligence e della Sicurezza iraniano (MOIS).
Quali sono i principali vettori di attacco di MuddyWater?
Utilizzano e-mail di phishing con allegati e link dannosi e sfruttano le vulnerabilità pubbliche.
Come fa MuddyWater a eludere le difese?
Utilizzano vari metodi di offuscamento, strumenti legittimi, steganografia e DLL side-loading.
Quali strumenti malware sono associati a MuddyWater?
POWERSTATS, NTSTATS, CloudSTATS, PowGoop, Blackwater, ForeLord, MoriAgent e altri.
A quali settori si rivolge MuddyWater?
Telecomunicazioni, difesa, università, petrolio e gas, sanità, tecnologia, ONG ed enti governativi.
Quali strumenti possono rilevare le attività di MuddyWater?
Le organizzazioni dovrebbero sfruttare soluzioni avanzate di Network Detection and Response (NDR) come Vectra AI.
Cosa possono fare le organizzazioni per difendersi dagli attacchi MuddyWater?
Le organizzazioni devono applicare tempestivamente le patch di sicurezza, educare gli utenti alla consapevolezza dello phishing , applicare l'autenticazione a più fattori e monitorare attentamente il traffico di rete e l'attività degli utenti.
MuddyWater sfrutta le vulnerabilità?
Sì, sfruttano vulnerabilità come CVE-2020-0688 (Microsoft Exchange), CVE-2017-0199 (Office) e CVE-2020-1472 (Netlogon).
MuddyWater ha una portata globale?
Sì, anche se opera principalmente in Medio Oriente e in Asia, MuddyWater si rivolge a entità di tutto il mondo, compresi il Nord America e l'Europa.
Come può un'organizzazione rilevare il movimento laterale di MuddyWater?
Le organizzazioni possono rilevare efficacemente i movimenti laterali associati a MuddyWater utilizzando soluzioni avanzate di Network Detection and Response (NDR) come Vectra AI. Vectra AI sfrutta l'intelligenza artificiale e gli algoritmi di apprendimento automatico per monitorare costantemente il traffico di rete, identificando rapidamente comportamenti anomali come l'utilizzo di strumenti di accesso remoto non autorizzati, connessioni interne sospette e modelli di utilizzo delle credenziali inaspettati. Fornendo visibilità in tempo reale e avvisi prioritari sulle minacce, Vectra AI consente ai team di sicurezza di identificare e contenere rapidamente le minacce poste da MuddyWater prima che si verifichino danni significativi.