APPENA PUBBLICATO

Da Clawdbot a OpenClaw: l'automazione come backdoor digitale. Leggi il blog →

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)

Piattaforma

La piattaforma NDR che protegge le reti moderne dagli attacchi moderni.

Protezione preventiva

Rilevamento e risposta proattivi

Fornite ai vostri analisti della sicurezza le informazioni necessarie per bloccare rapidamente gli attacchi. Attack Signal Intelligence in tempo reale per mostrare dove si trovano le vulnerabilità in quel momento.

Modernizzazione SOC

Resilienza informatica

Gestione dei rischi

Scopri come gli hacker moderni sfruttano le falle nelle tue difese e cosa puoi fare per fermarli.

Fermare l'avanzata dell'aggressore

Contenimento forzato su identità, dispositivi e traffico di rete con 360 Response.

Per saperne di più

Dashboard sulla sicurezza informatica di Vectra AI un'indagine di rilevamento con dettagli sul profilo dell'attacco, fattori di valutazione e un grafico di rete delle attività sospette.

Confronta la Vectra AI con altri strumenti

EDR, SIEM, SASE, SSE e gli strumenti cloud nativi lasciano delle lacune che gli hacker moderni sfruttano. La Vectra AI le colma.

Per saperne di più

Clienti

Ricerca e approfondimenti

Approfondimenti di esperti provenienti dai nostri data scientist, ricercatori di sicurezza e ingegneri per supportare il tuo apprendimento.

Approfondimenti di esperti sulle minacce emergenti e sulle difese

Ottieni informazioni basate sull'intelligenza artificiale per un rilevamento delle minacce più intelligente

Bollettini e briefing sulle minacce per una difesa proattiva

Unisciti ai nostri ricercatori nel campo della sicurezza, data scientist e analisti mentre condividiamo oltre 11 anni di ricerca e competenze nel campo della sicurezza AI con la comunità globale della sicurezza informatica.

Risorse

Ultime notizie e approfondimenti degli esperti.

Blue Team Workshops, webinar su richiesta ed eventi globali vicino a te.

Rapporti di ricerca, analisi degli attacchi, white paper, guide, schede tecniche e testimonianze dei clienti.

Spiegazioni dettagliate delle questioni più critiche relative alla sicurezza informatica odierna, delle tecniche utilizzate dagli hacker e delle strategie di mitigazione.

Video dimostrativi e tour

Guarda la Vectra AI in azione.

Scopri come il segnale integrato di Vectra AI ti Vectra AI individuare e bloccare attacchi sofisticati che altre tecnologie non riescono a rilevare.

Fai il tour interattivo

Azienda

Scopri perché siamo leader mondiali nella sicurezza basata sull'intelligenza artificiale

Richiedi una presentazione con un esperto Vectra AI

Guide all'implementazione, knowledge base, note di rilascio e annunci di sicurezza

Approfondimenti di esperti provenienti da ricercatori nel campo della sicurezza, data scientist e ingegneri

Ultime notizie da Vectra AI

Materiale stampa, biografie dei dirigenti, loghi e immagini dei prodotti per uso mediatico

Entra a far parte del team che ha creato la prima piattaforma al mondo per la sicurezza informatica basata sull'intelligenza artificiale.

Hands typing on a laptop keyboard with digital icons including a clock, globe, chat bubble, skull, email, and phone floating above.

Oltre la perfezione della configurazione: ridefinireCloud "

Non basta correggere le configurazioni errate. Concentrarsi eccessivamente sulla perfezione può creare punti ciechi. Scopri un approccio più intelligente e olistico alla cloud .

Per saperne di più

MuddyWater

MuddyWater is an Iranian state-sponsored cyber espionage group linked to the Ministry of Intelligence and Security (MOIS) that conducts global intelligence collection through spear-phishing, vulnerability exploitation, and increasingly sophisticated custom command-and-control infrastructure.

Rileva le TTP di MuddyWater

La tua organizzazione è al sicuro dagli attacchi di MuddyWater?

L'origine di MuddyWater

MuddyWater, also tracked as STATIC KITTEN, Earth Vetala, Seedworm, TA450, MERCURY, and Mango Sandstorm, is a cyber espionage group assessed to operate under Iran’s Ministry of Intelligence and Security (MOIS). Active since at least 2017, the group conducts intelligence collection operations against government, academic, defense, telecommunications, and energy organizations worldwide.

Recent research in 2026 revealed operational infrastructure belonging to MuddyWater hosted on a Netherlands-based VPS, which exposed extensive operational artifacts including command-and-control (C2) frameworks, scripts, victim data, and operational logs. Analysis of this infrastructure confirmed that MuddyWater operates multiple internally developed C2 frameworks and leverages a wide ecosystem of open-source tools to support reconnaissance, exploitation, and data exfiltration operations.

The group demonstrates a hybrid operational approach: combining custom-developed malware frameworks, public exploit code, and legitimate administrative tools to maintain access and evade detection. Recent campaigns also demonstrate experimentation with blockchain-based command-and-control mechanisms, highlighting MuddyWater’s evolving technical capabilities.

Paesi destinatari

MuddyWater campaigns span multiple regions including the Middle East, Europe, North America, and Central Asia. Recent activity has targeted organizations in Israel, Jordan, Egypt, the United Arab Emirates, Portugal, and the United States, alongside historical operations against entities in Turkey, Iraq, Pakistan, Saudi Arabia, Germany, India, Afghanistan, and Armenia.

Settori di riferimento

MuddyWater targets organizations across numerous sectors including government, telecommunications, defense, academic institutions, aviation, healthcare, energy, financial services, NGOs, and technology companies. The group also targets critical infrastructure and organizations involved in immigration, intelligence, and identity systems, indicating a strong focus on intelligence collection.

Energy and Utilities

Financial Services and Banking

Pharmaceuticals and Medical Devices

Real Estate

Federal

Healthcare

Vittime note

Recent operations identified targets including:

Israeli healthcare organizations, hosting providers, and immigration-related services
Jordanian government webmail infrastructure
UAE engineering and energy companies
Egyptian aviation organizations, including EgyptAir
NGOs connected to Israeli and Jewish communities
A Portuguese government-related immigration system

The targeting aligns closely with Iranian intelligence priorities, including geopolitical, diplomatic, and regional strategic interests.

Metodo di attacco

Il metodo di attacco di MuddyWater

Una figura oscura che getta una vasta rete su un panorama digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'aggressore di trovare vulnerabilità o utilizzare phishing per ottenere un accesso non autorizzato.

MuddyWater gains access through spear-phishing emails, exploitation of public-facing applications, password spraying, and vulnerability exploitation. Recent campaigns leveraged vulnerabilities in Fortinet, Ivanti, Citrix, BeyondTrust, and SolarWinds N-Central, as well as SQL injection vulnerabilities in web applications.

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'aggressore per ottenere un accesso di livello superiore all'interno del sistema.

The group frequently escalates privileges through techniques such as UAC bypass, exploitation of edge device vulnerabilities, and administrative account creation, including the creation of persistent FortiGate administrator accounts during exploitation.

Un camaleonte che si mimetizza in uno sfondo digitale, circondato da flussi di zero e uno. Questo rappresenta la capacità dell'aggressore di eludere il rilevamento da parte delle misure di sicurezza, modificando le proprie tattiche per mimetizzarsi nel normale traffico di rete.

Defense evasion includes code obfuscation, encrypted payloads, steganography, and masquerading as legitimate services. MuddyWater also hides C2 infrastructure behind compromised websites, proxy networks, and decentralized infrastructure such as blockchain-based C2 resolution.

Un ladro con un kit di grimaldelli che lavora su una gigantesca serratura a forma di modulo di accesso, che rappresenta gli sforzi dell'aggressore per rubare le credenziali degli utenti e ottenere un accesso non autorizzato.

Credential theft is performed using tools such as Mimikatz, LaZagne, Browser64, and password spraying attacks targeting Outlook Web Access and SMTP services.

Una lente di ingrandimento che si sposta su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per comprenderne la struttura e individuare dove risiedono i dati di valore.

Malware deployed by MuddyWater gathers system information, domain membership, running processes, security software presence, and network configuration to map the victim environment.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'aggressore all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.

The group commonly leverages remote monitoring and management (RMM) tools such as ScreenConnect, Atera Agent, SimpleHelp, and Remote Utilities to move laterally across compromised environments.

Un grande aspirapolvere che risucchia file, icone di dati e cartelle in un sacco tenuto da una figura oscura. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.

Sensitive information is collected from compromised systems including documents, credential databases, screenshots, and locally stored files. In recent campaigns, data included passport scans, visa records, financial documents, and biometric system configurations.

Una finestra del prompt dei comandi aperta su uno sfondo digitale, con codice dannoso in fase di digitazione. Questo rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.

Payload execution is typically performed using PowerShell, Windows Command Shell, JavaScript, Python, and Visual Basic scripts, often executed via legitimate system utilities such as mshta, rundll32, or CMSTP.

Una serie di file che vengono convogliati attraverso un canale segreto da un computer a un cloud da un teschio, che simboleggia il trasferimento non autorizzato di dati verso una posizione controllata dall'autore dell'attacco.

Data exfiltration occurs through several mechanisms including:

Custom C2 channels
Cloud storage platforms such as Wasabi S3 and put.io
Amazon EC2 servers
Lightweight HTTP file servers
Command-and-control channels using HTTP, DNS, and WebSockets

Uno schermo incrinato con uno sfondo digitale raffigurante una città nel caos, che simboleggia l'impatto distruttivo dell'attacco informatico, come l'interruzione dei servizi, la distruzione dei dati o la perdita finanziaria.

MuddyWater operations are primarily focused on covert intelligence gathering, with stolen data including government communications, personal identity documents, organizational records, and internal communications.

Accesso iniziale

Elevazione dei privilegi

Evasione della difesa

Accesso alle credenziali

Credential theft is performed using tools such as Mimikatz, LaZagne, Browser64, and password spraying attacks targeting Outlook Web Access and SMTP services.

Scoperta

Malware deployed by MuddyWater gathers system information, domain membership, running processes, security software presence, and network configuration to map the victim environment.

Movimento laterale

Collezione

Esecuzione

Esfiltrazione

Data exfiltration occurs through several mechanisms including:

Custom C2 channels
Cloud storage platforms such as Wasabi S3 and put.io
Amazon EC2 servers
Lightweight HTTP file servers
Command-and-control channels using HTTP, DNS, and WebSockets

Impatto

MITRE ATT&CK

TTP utilizzati da MuddyWater

TA0001: Initial Access

T1566

Phishing

T1190

Exploit Public-Facing Application

TA0002: Execution

T1203

Exploitation for Client Execution

T1059

Command and Scripting Interpreter

TA0003: Persistence

T1574

Hijack Execution Flow

T1053

Scheduled Task/Job

TA0004: Privilege Escalation

T1548

Abuse Elevation Control Mechanism

T1574

Hijack Execution Flow

T1053

Scheduled Task/Job

TA0005: Defense Evasion

T1548

Abuse Elevation Control Mechanism

T1036

Masquerading

T1027

Obfuscated Files or Information

T1574

Hijack Execution Flow

TA0006: Credential Access

T1555

Credentials from Password Stores

T1003

OS Credential Dumping

TA0007: Discovery

T1087

Account Discovery

TA0008: Lateral Movement

T1210

Exploitation of Remote Services

TA0009: Collection

T1113

Screen Capture

TA0011: Command and Control

T1071

Application Layer Protocol

TA0010: Exfiltration

No items found.

TA0040: Impact

No items found.

Rilevamenti della piattaforma

Come rilevare MuddyWater con Vectra AI

Elenco delle rilevazioni disponibili nella Vectra AI che potrebbero indicare un attacco APT.

‍

External Remote Access

Hidden DNS Tunnel

Suspicious Remote Execution

Visualizza altri rilevamenti

Valuta la tua esposizione agli attacchi

Domande frequenti

Chi c'è dietro MuddyWater?

MuddyWater è attribuito al Ministero dell'Intelligence e della Sicurezza iraniano (MOIS).

Quali sono i principali vettori di attacco di MuddyWater?

Utilizzanophishing con allegati e link dannosi e sfruttano le vulnerabilità pubbliche.

In che modo MuddyWater elude le difese?

Utilizzano vari metodi di offuscamento, strumenti legittimi, steganografia e caricamento laterale di DLL.

Quali malware sono associati a MuddyWater?

POWERSTATS, NTSTATS, CloudSTATS, PowGoop, Blackwater, ForeLord, MoriAgent e altri.

‍

Quali settori industriali sono nel mirino di MuddyWater?

Telecomunicazioni, difesa, mondo accademico, petrolio e gas, sanità, tecnologia, ONG ed enti governativi.

Quali strumenti possono rilevare le attività di MuddyWater?

Le organizzazioni dovrebbero sfruttare soluzioni avanzate di rilevamento e risposta di rete (NDR) come Vectra AI.

Cosa possono fare le organizzazioni per difendersi dagli attacchi MuddyWater?

Le organizzazioni dovrebbero applicare tempestivamente le patch di sicurezza, sensibilizzare gli utenti sulphishing , applicare l'autenticazione a più fattori e monitorare attentamente il traffico di rete e l'attività degli utenti.

‍

MuddyWater sfrutta le vulnerabilità?

Sì, sfruttano vulnerabilità come CVE-2020-0688 (Microsoft Exchange), CVE-2017-0199 (Office) e CVE-2020-1472 (Netlogon).

MuddyWater ha una portata globale?

Sì, sebbene sia attivo principalmente in Medio Oriente e Asia, MuddyWater prende di mira entità in tutto il mondo, compresi Nord America ed Europa.

Come può un'organizzazione rilevare il movimento laterale di MuddyWater?

Le organizzazioni possono rilevare efficacemente i movimenti laterali associati a MuddyWater utilizzando soluzioni avanzate di rilevamento e risposta di rete (NDR) come Vectra AI. Vectra AI l'intelligenza artificiale e algoritmi di apprendimento automatico per monitorare continuamente il traffico di rete, identificando rapidamente comportamenti anomali come l'uso non autorizzato di strumenti di accesso remoto, connessioni interne sospette e modelli di utilizzo delle credenziali inaspettati. Fornendo visibilità in tempo reale e avvisi di minaccia prioritari, Vectra AI ai team di sicurezza di identificare e contenere rapidamente le minacce poste da MuddyWater prima che si verifichino danni significativi.

MuddyWater

L'origine di MuddyWater

Paesi destinatari

Settori di riferimento

Energy and Utilities

Financial Services and Banking

Pharmaceuticals and Medical Devices

Real Estate

Federal

Healthcare

Vittime note

Il metodo di attacco di MuddyWater

TTP utilizzati da MuddyWater

Come rilevare MuddyWater con Vectra AI

External Remote Access

Hidden DNS Tunnel

Suspicious Remote Execution

La tua organizzazione è al sicuro dagli attacchi di MuddyWater?

Domande frequenti

Chi c'è dietro MuddyWater?

Quali sono i principali vettori di attacco di MuddyWater?

In che modo MuddyWater elude le difese?

Quali malware sono associati a MuddyWater?

Quali settori industriali sono nel mirino di MuddyWater?

Quali strumenti possono rilevare le attività di MuddyWater?

Cosa possono fare le organizzazioni per difendersi dagli attacchi MuddyWater?

MuddyWater sfrutta le vulnerabilità?

MuddyWater ha una portata globale?

Come può un'organizzazione rilevare il movimento laterale di MuddyWater?