MuddyWater
MuddyWater è un gruppo di spionaggio informatico iraniano finanziato dallo Stato e collegato al Ministero dell'Intelligence e della Sicurezza (MOIS), che svolge attività di raccolta di informazioni a livello globale attraverso tecniche diphishing, lo sfruttamento di vulnerabilità e un'infrastruttura di comando e controllo personalizzata sempre più sofisticata.
L'origine di MuddyWater
MuddyWater, noto anche con i nomi di STATIC KITTEN, Earth Vetala, Seedworm, TA450, MERCURY e Mango Sandstorm, è un gruppo di spionaggio informatico che, secondo le valutazioni, opera sotto l’egida del Ministero dell’Intelligence e della Sicurezza iraniano (MOIS). Attivo almeno dal 2017, il gruppo conduce operazioni di raccolta di informazioni contro organizzazioni governative, accademiche, della difesa, delle telecomunicazioni e del settore energetico in tutto il mondo.
Una recente ricerca condotta nel 2026 ha portato alla luce un'infrastruttura operativa appartenente a MuddyWater ospitata su un server VPS con sede nei Paesi Bassi, che ha reso visibili numerosi elementi operativi, tra cui framework di comando e controllo (C2), script, dati delle vittime e registri operativi. L'analisi di tale infrastruttura ha confermato che MuddyWater utilizza diversi framework C2 sviluppati internamente e si avvale di un ampio ecosistema di strumenti open source a supporto delle operazioni di ricognizione, sfruttamento e esfiltrazione dei dati.
Il gruppo adotta un approccio operativo ibrido: combina malware sviluppati su misura, codice di exploit di dominio pubblico e strumenti amministrativi legittimi per mantenere l'accesso ed eludere il rilevamento. Le campagne più recenti evidenziano inoltre una fase di sperimentazione con meccanismi di comando e controllo basati sulla blockchain, a riprova dell'evoluzione delle capacità tecniche di MuddyWater.
Paesi destinatari
Le campagne di MuddyWater interessano diverse regioni, tra cui il Medio Oriente, l'Europa, il Nord America e l'Asia centrale. Le attività più recenti hanno preso di mira organizzazioni in Israele, Giordania, Egitto, Emirati Arabi Uniti, Portogallo e Stati Uniti, oltre alle operazioni condotte in passato contro entità in Turchia, Iraq, Pakistan, Arabia Saudita, Germania, India, Afghanistan e Armenia.
Settori di riferimento
MuddyWater prende di mira organizzazioni operanti in numerosi settori, tra cui quello pubblico, delle telecomunicazioni, della difesa, delle istituzioni accademiche, dell'aviazione, sanitario, energetico, dei servizi finanziari, delle ONG e delle aziende tecnologiche. Il gruppo punta inoltre alle infrastrutture critiche e alle organizzazioni che si occupano di immigrazione, intelligence e sistemi di identificazione, il che denota una forte attenzione alla raccolta di informazioni.
Vittime accertate
Le recenti operazioni hanno individuato obiettivi quali:
- Strutture sanitarie israeliane, fornitori di servizi di accoglienza e servizi legati all'immigrazione
- Infrastruttura di webmail del governo giordano
- Aziende di ingegneria ed energetiche degli Emirati Arabi Uniti
- Le compagnie aeree egiziane, tra cui EgyptAir
- ONG legate alle comunità israeliane ed ebraiche
- Un sistema di immigrazione legato al governo portoghese
Tale orientamento è strettamente in linea con le priorità dei servizi segreti iraniani, compresi gli interessi geopolitici, diplomatici e strategici a livello regionale.
Il metodo di attacco di MuddyWater
MuddyWater ottiene l'accesso tramite phishing , lo sfruttamento di applicazioni accessibili al pubblico, il "password spraying" e lo sfruttamento di vulnerabilità. Le campagne più recenti hanno sfruttato vulnerabilità presenti in Fortinet, Ivanti, Citrix, BeyondTrust e SolarWinds N-Central, oltre a vulnerabilità di tipo SQL injection nelle applicazioni web.
Il gruppo ottiene spesso privilegi più elevati ricorrendo a tecniche quali l'aggiramento dell'UAC, lo sfruttamento delle vulnerabilità dei dispositivi periferici e la creazione di account amministrativi, compresa la creazione di account amministratori FortiGate persistenti durante lo sfruttamento delle vulnerabilità.
Le tecniche di elusione dei sistemi di difesa comprendono l'offuscamento del codice, i payload crittografati, la steganografia e la simulazione di servizi legittimi. MuddyWater nasconde inoltre l'infrastruttura C2 dietro siti web compromessi, reti proxy e infrastrutture decentralizzate, come la risoluzione C2 basata su blockchain.
Il furto delle credenziali avviene tramite strumenti quali Mimikatz, LaZagne e Browser64, nonché tramite attacchi di "password spraying " diretti contro Outlook Web Access e i servizi SMTP.
Malware da MuddyWater raccoglie informazioni sul sistema, l'appartenenza ai domini, i processi in esecuzione, la presenza di software di sicurezza e la configurazione di rete per mappare l'ambiente della vittima.
Il gruppo ricorre comunemente a strumenti di monitoraggio e gestione remota (RMM) quali ScreenConnect, Atera Agent, SimpleHelp e Remote Utilities per muoversi lateralmente all'interno degli ambienti compromessi.
Dai sistemi compromessi vengono raccolte informazioni sensibili, tra cui documenti, database delle credenziali, schermate e file archiviati localmente. Nelle campagne più recenti, i dati raccolti includevano scansioni di passaporti, registrazioni relative ai visti, documenti finanziari e configurazioni dei sistemi biometrici.
L'esecuzione del payload avviene solitamente tramite script PowerShell, Windows Command Shell, JavaScript, Python e Visual Basic, spesso eseguiti tramite utilità di sistema legittime quali mshta, rundll32 o CMSTP.
L'esfiltrazione dei dati avviene attraverso diversi meccanismi, tra cui:
- Canali C2 personalizzati
- Piattaforme Cloud come Wasabi S3 e put.io
- Server Amazon EC2
- Server di file HTTP leggeri
- Canali di comando e controllo che utilizzano HTTP, DNS e WebSockets
Le operazioni di MuddyWater sono incentrate principalmente sulla raccolta di informazioni segrete, con dati sottratti che comprendono comunicazioni governative, documenti di identità personali, registri organizzativi e comunicazioni interne.
MuddyWater ottiene l'accesso tramite phishing , lo sfruttamento di applicazioni accessibili al pubblico, il "password spraying" e lo sfruttamento di vulnerabilità. Le campagne più recenti hanno sfruttato vulnerabilità presenti in Fortinet, Ivanti, Citrix, BeyondTrust e SolarWinds N-Central, oltre a vulnerabilità di tipo SQL injection nelle applicazioni web.
Il gruppo ottiene spesso privilegi più elevati ricorrendo a tecniche quali l'aggiramento dell'UAC, lo sfruttamento delle vulnerabilità dei dispositivi periferici e la creazione di account amministrativi, compresa la creazione di account amministratori FortiGate persistenti durante lo sfruttamento delle vulnerabilità.
Le tecniche di elusione dei sistemi di difesa comprendono l'offuscamento del codice, i payload crittografati, la steganografia e la simulazione di servizi legittimi. MuddyWater nasconde inoltre l'infrastruttura C2 dietro siti web compromessi, reti proxy e infrastrutture decentralizzate, come la risoluzione C2 basata su blockchain.
Il furto delle credenziali avviene tramite strumenti quali Mimikatz, LaZagne e Browser64, nonché tramite attacchi di "password spraying " diretti contro Outlook Web Access e i servizi SMTP.
Malware da MuddyWater raccoglie informazioni sul sistema, l'appartenenza ai domini, i processi in esecuzione, la presenza di software di sicurezza e la configurazione di rete per mappare l'ambiente della vittima.
Il gruppo ricorre comunemente a strumenti di monitoraggio e gestione remota (RMM) quali ScreenConnect, Atera Agent, SimpleHelp e Remote Utilities per muoversi lateralmente all'interno degli ambienti compromessi.
Dai sistemi compromessi vengono raccolte informazioni sensibili, tra cui documenti, database delle credenziali, schermate e file archiviati localmente. Nelle campagne più recenti, i dati raccolti includevano scansioni di passaporti, registrazioni relative ai visti, documenti finanziari e configurazioni dei sistemi biometrici.
L'esecuzione del payload avviene solitamente tramite script PowerShell, Windows Command Shell, JavaScript, Python e Visual Basic, spesso eseguiti tramite utilità di sistema legittime quali mshta, rundll32 o CMSTP.
L'esfiltrazione dei dati avviene attraverso diversi meccanismi, tra cui:
- Canali C2 personalizzati
- Piattaforme Cloud come Wasabi S3 e put.io
- Server Amazon EC2
- Server di file HTTP leggeri
- Canali di comando e controllo che utilizzano HTTP, DNS e WebSockets
Le operazioni di MuddyWater sono incentrate principalmente sulla raccolta di informazioni segrete, con dati sottratti che comprendono comunicazioni governative, documenti di identità personali, registri organizzativi e comunicazioni interne.
TTP utilizzati da MuddyWater
Come individuare MuddyWater con Vectra AI
Elenco dei rilevamenti disponibili nella Vectra AI che potrebbero indicare un attacco APT.
Domande frequenti
Chi c'è dietro MuddyWater?
MuddyWater è attribuito al Ministero dell'Intelligence e della Sicurezza iraniano (MOIS).
Quali sono i principali vettori di attacco di MuddyWater?
Ricorrono aphishing contenenti allegati e link dannosi e sfruttano le vulnerabilità accessibili al pubblico.
In che modo MuddyWater riesce a eludere le difese?
Utilizzano vari metodi di offuscamento, strumenti legittimi, steganografia e il caricamento laterale di DLL.
Quali malware sono associati a MuddyWater?
POWERSTATS, NTSTATS, CloudSTATS, PowGoop, Blackwater, ForeLord, MoriAgent e altri.
A quali settori si rivolge MuddyWater?
Telecomunicazioni, difesa, mondo accademico, petrolio e gas, sanità, tecnologia, ONG ed enti governativi.
Quali strumenti consentono di individuare le attività di MuddyWater?
Le organizzazioni dovrebbero avvalersi di soluzioni avanzate di rilevamento e risposta alle minacce di rete (NDR) come Vectra AI.
Cosa possono fare le organizzazioni per difendersi dagli attacchi di MuddyWater?
Le organizzazioni dovrebbero applicare tempestivamente le patch di sicurezza, sensibilizzare gli utenti sulphishing , imporre l'autenticazione a più fattori e monitorare attentamente il traffico di rete e l'attività degli utenti.
MuddyWater sfrutta le vulnerabilità?
Sì, sfruttano vulnerabilità come CVE-2020-0688 (Microsoft Exchange), CVE-2017-0199 (Office) e CVE-2020-1472 (Netlogon).
MuddyWater ha una portata globale?
Sì, sebbene operi principalmente in Medio Oriente e in Asia, MuddyWater si rivolge a entità di tutto il mondo, compresi il Nord America e l'Europa.
In che modo un'organizzazione può individuare i movimenti laterali di MuddyWater?
Le organizzazioni possono individuare efficacemente i movimenti laterali associati a MuddyWater utilizzando soluzioni avanzate di rilevamento e risposta di rete (NDR) come Vectra AI. Vectra AI l'intelligenza artificiale e algoritmi di machine learning per monitorare continuamente il traffico di rete, identificando rapidamente comportamenti anomali come l'uso non autorizzato di strumenti di accesso remoto, connessioni interne sospette e modelli di utilizzo delle credenziali inaspettati. Fornendo visibilità in tempo reale e avvisi di minaccia prioritari, Vectra AI ai team di sicurezza di identificare e contenere rapidamente le minacce poste da MuddyWater prima che si verifichino danni significativi.