Acqua fangosa

MuddyWater è un gruppo di spionaggio informatico legato all'Iran attivo almeno dal 2017, noto per aver preso di mira i settori governativi, delle telecomunicazioni, della difesa e dell'energia a livello globale attraverso sofisticate tecniche di phishing e di sfruttamento.

La vostra organizzazione è al sicuro dagli attacchi di MuddyWater?

L'origine di MuddyWater

MuddyWater, noto anche come STATIC KITTEN, Earth Vetala, MERCURY, Seedworm, Mango Sandstorm e TEMP.Zagros, è un gruppo di minacce persistenti avanzate (APT) identificato come parte del Ministero dell'Intelligence e della Sicurezza iraniano (MOIS). Attivo almeno dal 2017, MuddyWater è specializzato in operazioni di spionaggio informatico e utilizza una varietà di tecniche sofisticate e malware personalizzati per le sue campagne. Il gruppo è particolarmente adattivo, evolvendo costantemente tattiche e malware per eludere il rilevamento e le difese.

Paesi destinatari

Le vittime di MuddyWater si estendono a livello globale, in particolare in Medio Oriente, Eurasia e Asia centrale, prendendo di mira soprattutto Turchia, Tagikistan, Paesi Bassi, Azerbaijan, Armenia, Pakistan, Iraq, Oman, Arabia Saudita, Emirati Arabi Uniti, Siria, Afghanistan, India, Giordania, Israele, Palestina, Turkmenistan, Georgia, Malta, Germania e Stati Uniti. Una tale diversità geografica dimostra le loro vaste campagne di spionaggio internazionale.

Industrie mirate

MuddyWater ha condotto operazioni contro diversi settori, tra cui enti governativi, organizzazioni militari, telecomunicazioni, università, petrolio e gas, aviazione, sanità, ONG, tecnologia, servizi finanziari, ospitalità, agricoltura, energia, prodotti farmaceutici, settore immobiliare, aerospaziale e governi locali. L'ampiezza degli obiettivi indica un interesse strategico nei settori critici per le infrastrutture nazionali e il controllo delle informazioni.

Vittime conosciute

Tra gli attacchi specifici noti vi sono le recenti campagne (2025) contro diverse istituzioni accademiche israeliane, che riflettono un interesse costante per le dinamiche politiche mediorientali. Inoltre, organizzazioni governative, della difesa, delle telecomunicazioni e dell'energia in vari Paesi sono state ripetutamente prese di mira nel corso della storia operativa del gruppo.

Metodo di attacco

Metodo di attacco di MuddyWater

Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.

Principalmente tramite e-mail mirate di phishing (allegati o link dannosi), account di terze parti compromessi o sfruttamento di vulnerabilità note nei prodotti Microsoft Exchange e Office.

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.

MuddyWater abusa dei meccanismi di controllo dell'account utente (UAC) ed esegue tecniche di side-loading di DLL per ottenere un accesso elevato.

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.

Implementa metodi di offuscamento tra cui la codifica Base64, la steganografia e l'utilizzo di strumenti legittimi (LOLBins) come CMSTP, Mshta e Rundll32.

Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.

Utilizza strumenti di dumping delle credenziali come Mimikatz, LaZagne e Browser64 per estrarre le credenziali dalla memoria di LSASS, dai browser Web, dai client di posta elettronica e dalle credenziali di dominio memorizzate nella cache.

Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.

Utilizza script e malware personalizzati per l'enumerazione degli account, la scansione di file e directory e la scoperta di software, compresi i prodotti di sicurezza.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.

Utilizza soluzioni di accesso remoto legittime come Remote Utilities, SimpleHelp, Atera Agent e ScreenConnect per muoversi lateralmente all'interno di reti compromesse.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.

L'acquisizione di schermate e l'archiviazione a tappe dei dati tramite utility native (makecab.exe) sono pratiche standard.

Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.

Distribuisce payload eseguiti tramite PowerShell, Windows Command Shell, VBScript, Python, JavaScript e sfruttando strumenti di accesso remoto.

Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.

Esfiltra i dati tramite canali di comando e controllo (C2) utilizzando comunicazioni criptate e offuscate su protocolli HTTP/DNS.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.

L'obiettivo principale è lo spionaggio informatico con conseguente furto di informazioni sensibili, strategiche e classificate piuttosto che attacchi dirompenti.

Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.
Accesso iniziale

Principalmente tramite e-mail mirate di phishing (allegati o link dannosi), account di terze parti compromessi o sfruttamento di vulnerabilità note nei prodotti Microsoft Exchange e Office.

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.
Escalation dei privilegi

MuddyWater abusa dei meccanismi di controllo dell'account utente (UAC) ed esegue tecniche di side-loading di DLL per ottenere un accesso elevato.

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.
Difesa Evasione

Implementa metodi di offuscamento tra cui la codifica Base64, la steganografia e l'utilizzo di strumenti legittimi (LOLBins) come CMSTP, Mshta e Rundll32.

Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.
Accesso alle credenziali

Utilizza strumenti di dumping delle credenziali come Mimikatz, LaZagne e Browser64 per estrarre le credenziali dalla memoria di LSASS, dai browser Web, dai client di posta elettronica e dalle credenziali di dominio memorizzate nella cache.

Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.
Scoperta

Utilizza script e malware personalizzati per l'enumerazione degli account, la scansione di file e directory e la scoperta di software, compresi i prodotti di sicurezza.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.
Movimento laterale

Utilizza soluzioni di accesso remoto legittime come Remote Utilities, SimpleHelp, Atera Agent e ScreenConnect per muoversi lateralmente all'interno di reti compromesse.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.
Collezione

L'acquisizione di schermate e l'archiviazione a tappe dei dati tramite utility native (makecab.exe) sono pratiche standard.

Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.
Esecuzione

Distribuisce payload eseguiti tramite PowerShell, Windows Command Shell, VBScript, Python, JavaScript e sfruttando strumenti di accesso remoto.

Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.
Esfiltrazione

Esfiltra i dati tramite canali di comando e controllo (C2) utilizzando comunicazioni criptate e offuscate su protocolli HTTP/DNS.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.
Impatto

L'obiettivo principale è lo spionaggio informatico con conseguente furto di informazioni sensibili, strategiche e classificate piuttosto che attacchi dirompenti.

MITRE ATT&CK Mappatura

TTP utilizzati da MuddyWater

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
TA0002: Execution
T1203
Exploitation for Client Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1574
Hijack Execution Flow
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1548
Abuse Elevation Control Mechanism
T1574
Hijack Execution Flow
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1548
Abuse Elevation Control Mechanism
T1036
Masquerading
T1027
Obfuscated Files or Information
T1574
Hijack Execution Flow
TA0006: Credential Access
T1555
Credentials from Password Stores
T1003
OS Credential Dumping
TA0007: Discovery
T1087
Account Discovery
TA0008: Lateral Movement
T1210
Exploitation of Remote Services
TA0009: Collection
T1113
Screen Capture
TA0011: Command and Control
T1071
Application Layer Protocol
TA0010: Exfiltration
No items found.
TA0040: Impact
No items found.
Rilevamenti della piattaforma

Come rilevare l'acqua fangosa con Vectra AI

Elenco dei rilevamenti disponibili nella piattaforma Vectra AI che indicano un attacco APT.

DOMANDE FREQUENTI

Chi c'è dietro MuddyWater?

Quali sono i principali vettori di attacco di MuddyWater?

Come fa MuddyWater a eludere le difese?

Quali strumenti malware sono associati a MuddyWater?

A quali settori si rivolge MuddyWater?

Quali strumenti possono rilevare le attività di MuddyWater?

Cosa possono fare le organizzazioni per difendersi dagli attacchi MuddyWater?

MuddyWater sfrutta le vulnerabilità?

MuddyWater ha una portata globale?

Come può un'organizzazione rilevare il movimento laterale di MuddyWater?