Eau boueuse
MuddyWater est un groupe de cyberespionnage iranien soutenu par l'État, lié au ministère du Renseignement et de la Sécurité (MOIS), qui mène des opérations de collecte de renseignements à l'échelle mondiale par le biaisphishing, de l'exploitation de vulnérabilités et d'une infrastructure de commande et de contrôle sur mesure de plus en plus sophistiquée.
L'origine de MuddyWater
MuddyWater, également connu sous les noms de STATIC KITTEN, Earth Vetala, Seedworm, TA450, MERCURY et Mango Sandstorm, est un groupe de cyberespionnage qui, selon les estimations, opère sous l'égide du ministère iranien du Renseignement et de la Sécurité (MOIS). Actif depuis au moins 2017, ce groupe mène des opérations de collecte de renseignements à l'encontre d'organisations gouvernementales, universitaires, de défense, de télécommunications et du secteur de l'énergie à travers le monde.
Une étude récente publiée en 2026 a mis au jour une infrastructure opérationnelle appartenant à MuddyWater hébergée sur un serveur VPS basé aux Pays-Bas, qui a révélé de nombreux éléments opérationnels, notamment des infrastructures de commande et de contrôle (C2), des scripts, des données sur les victimes et des journaux d'activité. L'analyse de cette infrastructure a confirmé que MuddyWater exploite plusieurs infrastructures C2 développées en interne et s'appuie sur un vaste écosystème d'outils open source pour mener à bien ses opérations de reconnaissance, d'exploitation et d'exfiltration de données.
Ce groupe adopte une approche opérationnelle hybride : il combine malware développées sur mesure, des codes d'exploitation accessibles au public et des outils d'administration légitimes pour maintenir son accès et échapper à la détection. Des campagnes récentes témoignent également d'une expérimentation de mécanismes de commande et de contrôle basés sur la blockchain, ce qui met en évidence l'évolution des capacités techniques de MuddyWater.
Pays ciblés
Les campagnes de MuddyWater couvrent plusieurs régions, notamment le Moyen-Orient, l'Europe, l'Amérique du Nord et l'Asie centrale. Les activités récentes ont visé des organisations en Israël, en Jordanie, en Égypte, aux Émirats arabes unis, au Portugal et aux États-Unis, tandis que des opérations antérieures ont ciblé des entités en Turquie, en Irak, au Pakistan, en Arabie saoudite, en Allemagne, en Inde, en Afghanistan et en Arménie.
Industries ciblées
MuddyWater cible des organisations issues de nombreux secteurs, notamment les administrations publiques, les télécommunications, la défense, les établissements d'enseignement, l'aviation, la santé, l'énergie, les services financiers, les ONG et les entreprises technologiques. Le groupe cible également les infrastructures critiques et les organisations impliquées dans l'immigration, le renseignement et les systèmes d'identification, ce qui témoigne d'un intérêt marqué pour la collecte de renseignements.
Victimes connues
Des opérations récentes ont permis d'identifier des cibles, notamment :
- Organismes de santé israéliens, prestataires d'hébergement et services liés à l'immigration
- Infrastructure de messagerie web du gouvernement jordanien
- Entreprises d'ingénierie et du secteur de l'énergie des Émirats arabes unis
- Les compagnies aériennes égyptiennes, dont EgyptAir
- ONG liées aux communautés israéliennes et juives
- Un système d'immigration lié au gouvernement portugais
Ces cibles correspondent étroitement aux priorités des services de renseignement iraniens, notamment à leurs intérêts géopolitiques, diplomatiques et stratégiques régionaux.
Méthode d'attaque de MuddyWater
MuddyWater parvient à s'introduire dans les systèmes par le biais phishing , de l'exploitation d'applications accessibles au public, du « password spraying » et de l'exploitation de vulnérabilités. Des campagnes récentes ont exploité des failles dans les produits Fortinet, Ivanti, Citrix, BeyondTrust et SolarWinds N-Central, ainsi que des vulnérabilités de type injection SQL dans des applications web.
Ce groupe procède fréquemment à une élévation des privilèges en recourant à des techniques telles que le contournement du contrôle de compte d'utilisateur (UAC), l'exploitation des vulnérabilités des périphériques en périphérie du réseau et la création de comptes administratifs, y compris la création de comptes administrateur persistants sur FortiGate au cours de l'exploitation.
Les techniques d'évasion comprennent l'obfuscation du code, les charges utiles chiffrées, la stéganographie et l'usurpation d'identité de services légitimes. MuddyWater dissimule également son infrastructure C2 derrière des sites web compromis, des réseaux de proxys et des infrastructures décentralisées, telles que la résolution C2 basée sur la blockchain.
Le vol d'identifiants s'effectue à l'aide d'outils tels que Mimikatz, LaZagne et Browser64, ainsi que par le biais d'attaques de « password spraying » ciblant Outlook Web Access et les services SMTP.
Malware par MuddyWater recueillent des informations sur le système, l'appartenance à un domaine, les processus en cours d'exécution, la présence de logiciels de sécurité et la configuration réseau afin de cartographier l'environnement de la victime.
Le groupe utilise généralement des outils de surveillance et de gestion à distance (RMM) tels que ScreenConnect, Atera Agent, SimpleHelp et Remote Utilities pour se déplacer latéralement au sein des environnements compromis.
Des informations sensibles sont récupérées sur les systèmes compromis, notamment des documents, des bases de données contenant des identifiants, des captures d'écran et des fichiers stockés localement. Lors de campagnes récentes, les données récupérées comprenaient des scans de passeports, des dossiers de visa, des documents financiers et des configurations de systèmes biométriques.
L'exécution de la charge utile s'effectue généralement à l'aide de scripts PowerShell, de l'interface de commande Windows, de scripts JavaScript, Python et Visual Basic, souvent lancés via des utilitaires système légitimes tels que mshta, rundll32 ou CMSTP.
L'exfiltration de données s'effectue par le biais de plusieurs mécanismes, notamment :
- Canaux C2 personnalisés
- Plateformes Cloud telles que Wasabi S3 et put.io
- Serveurs Amazon EC2
- Serveurs de fichiers HTTP légers
- Canaux de commande et de contrôle utilisant HTTP, DNS et WebSockets
Les activités de MuddyWater sont principalement axées sur la collecte clandestine de renseignements, les données dérobées comprenant notamment des communications gouvernementales, des documents d'identité personnels, des dossiers d'organisations et des communications internes.
MuddyWater parvient à s'introduire dans les systèmes par le biais phishing , de l'exploitation d'applications accessibles au public, du « password spraying » et de l'exploitation de vulnérabilités. Des campagnes récentes ont exploité des failles dans les produits Fortinet, Ivanti, Citrix, BeyondTrust et SolarWinds N-Central, ainsi que des vulnérabilités de type injection SQL dans des applications web.
Ce groupe procède fréquemment à une élévation des privilèges en recourant à des techniques telles que le contournement du contrôle de compte d'utilisateur (UAC), l'exploitation des vulnérabilités des périphériques en périphérie du réseau et la création de comptes administratifs, y compris la création de comptes administrateur persistants sur FortiGate au cours de l'exploitation.
Les techniques d'évasion comprennent l'obfuscation du code, les charges utiles chiffrées, la stéganographie et l'usurpation d'identité de services légitimes. MuddyWater dissimule également son infrastructure C2 derrière des sites web compromis, des réseaux de proxys et des infrastructures décentralisées, telles que la résolution C2 basée sur la blockchain.
Le vol d'identifiants s'effectue à l'aide d'outils tels que Mimikatz, LaZagne et Browser64, ainsi que par le biais d'attaques de « password spraying » ciblant Outlook Web Access et les services SMTP.
Malware par MuddyWater recueillent des informations sur le système, l'appartenance à un domaine, les processus en cours d'exécution, la présence de logiciels de sécurité et la configuration réseau afin de cartographier l'environnement de la victime.
Le groupe utilise généralement des outils de surveillance et de gestion à distance (RMM) tels que ScreenConnect, Atera Agent, SimpleHelp et Remote Utilities pour se déplacer latéralement au sein des environnements compromis.
Des informations sensibles sont récupérées sur les systèmes compromis, notamment des documents, des bases de données contenant des identifiants, des captures d'écran et des fichiers stockés localement. Lors de campagnes récentes, les données récupérées comprenaient des scans de passeports, des dossiers de visa, des documents financiers et des configurations de systèmes biométriques.
L'exécution de la charge utile s'effectue généralement à l'aide de scripts PowerShell, de l'interface de commande Windows, de scripts JavaScript, Python et Visual Basic, souvent lancés via des utilitaires système légitimes tels que mshta, rundll32 ou CMSTP.
L'exfiltration de données s'effectue par le biais de plusieurs mécanismes, notamment :
- Canaux C2 personnalisés
- Plateformes Cloud telles que Wasabi S3 et put.io
- Serveurs Amazon EC2
- Serveurs de fichiers HTTP légers
- Canaux de commande et de contrôle utilisant HTTP, DNS et WebSockets
Les activités de MuddyWater sont principalement axées sur la collecte clandestine de renseignements, les données dérobées comprenant notamment des communications gouvernementales, des documents d'identité personnels, des dossiers d'organisations et des communications internes.
TTP utilisées par MuddyWater
Comment détecter les eaux boueuses avec Vectra AI
Liste des détections disponibles dans la plateforme Vectra AI qui indiqueraient une attaque APT.
Foire aux questions
Qui se cache derrière MuddyWater ?
MuddyWater est attribué au ministère iranien du renseignement et de la sécurité (MOIS).
Quels sont les principaux vecteurs d'attaque de MuddyWater ?
Ils utilisent des courriels de phishing contenant des pièces jointes et des liens malveillants et exploitent des vulnérabilités accessibles au public.
Comment MuddyWater échappe-t-il aux défenses ?
Ils utilisent diverses méthodes d'obscurcissement, des outils légitimes, la stéganographie et le chargement latéral de DLL.
Quels sont les outils malware associés à MuddyWater ?
POWERSTATS, NTSTATS, CloudSTATS, PowGoop, Blackwater, ForeLord, MoriAgent, etc.
Quels sont les secteurs d'activité visés par MuddyWater ?
Télécommunications, défense, universités, pétrole et gaz, soins de santé, technologie, ONG et entités gouvernementales.
Quels outils permettent de détecter les activités de MuddyWater ?
Les organisations devraient tirer parti de solutions avancées de détection et réponse aux incidents (NDR) telles que Vectra AI
Que peuvent faire les organisations pour se défendre contre les attaques de MuddyWater ?
Les organisations doivent appliquer rapidement les correctifs de sécurité, sensibiliser les utilisateurs au phishing , appliquer l'authentification multifactorielle et surveiller de près le trafic réseau et l'activité des utilisateurs.
MuddyWater exploite-t-il les vulnérabilités ?
Oui, ils exploitent des vulnérabilités telles que CVE-2020-0688 (Microsoft Exchange), CVE-2017-0199 (Office) et CVE-2020-1472 (Netlogon).
MuddyWater a-t-il une portée mondiale ?
Oui, bien que principalement active au Moyen-Orient et en Asie, MuddyWater cible des entités dans le monde entier, y compris en Amérique du Nord et en Europe.
Comment une organisation peut-elle détecter le mouvement latéral de MuddyWater ?
Les organisations peuvent détecter efficacement les mouvements latéraux associés à MuddyWater en utilisant des solutions avancées de détection et réponse aux incidents (NDR) telles que Vectra AI. Vectra AI exploite l'intelligence artificielle et les algorithmes d'apprentissage automatique pour surveiller en permanence le trafic réseau et identifier rapidement les comportements anormaux tels que l'utilisation d'outils d'accès à distance non autorisés, les connexions internes suspectes et les schémas d'utilisation d'informations d'identification inattendus. En fournissant une visibilité en temps réel et des alertes prioritaires, Vectra AI permet aux équipes de sécurité d'identifier et de contenir rapidement les menaces posées par MuddyWater avant que des dommages importants ne se produisent.