Eau boueuse
MuddyWater est un groupe de cyberespionnage lié à l'Iran, actif depuis au moins 2017, connu pour cibler les gouvernements mondiaux, les télécommunications, la défense et les secteurs de l'énergie par le biais de techniques sophistiquées de phishing et d'exploitation.
L'origine de MuddyWater
MuddyWater, également connu sous les noms de STATIC KITTEN, Earth Vetala, MERCURY, Seedworm, Mango Sandstorm et TEMP.Zagros, est un groupe de menaces persistantes avancées (APT) identifié comme faisant partie du ministère iranien du Renseignement et de la Sécurité (MOIS). Actif depuis au moins 2017, MuddyWater se spécialise dans les opérations de cyberespionnage, utilisant une variété de techniques sophistiquées et de malware personnalisés pour ses campagnes. Le groupe est particulièrement adaptatif, faisant constamment évoluer ses tactiques et ses malware pour échapper à la détection et aux défenses.
Pays ciblés
Les victimes de MuddyWater sont réparties dans le monde entier, en particulier au Moyen-Orient, en Eurasie et en Asie centrale, et plus particulièrement en Turquie, au Tadjikistan, aux Pays-Bas, en Azerbaïdjan, en Arménie, au Pakistan, en Irak, à Oman, en Arabie saoudite, dans les Émirats arabes unis, en Syrie, en Afghanistan, en Inde, en Jordanie, en Israël, en Palestine, au Turkménistan, en Géorgie, à Malte, en Allemagne et aux États-Unis. Une telle diversité géographique témoigne de l'ampleur de leurs campagnes d'espionnage international.
Industries ciblées
MuddyWater a mené des opérations contre divers secteurs, notamment des entités gouvernementales, des organisations militaires, des télécommunications, des universités, le pétrole et le gaz, l'aviation, les soins de santé, les ONG, la technologie, les services financiers, l'hôtellerie, l'agriculture, l'énergie, les produits pharmaceutiques, l'immobilier, l'aérospatiale et les gouvernements locaux. Ce vaste ciblage témoigne d'un intérêt stratégique pour les secteurs essentiels à l'infrastructure nationale et au contrôle de l'information.
Victimes connues
Parmi les attaques spécifiques connues, on peut citer les campagnes récentes (2025) contre plusieurs institutions universitaires israéliennes, qui témoignent d'un intérêt soutenu pour la dynamique politique du Moyen-Orient. En outre, des organisations gouvernementales, de défense, de télécommunications et d'énergie dans divers pays ont été ciblées à plusieurs reprises au cours de l'histoire opérationnelle du groupe.
Méthode d'attaque de MuddyWater
Principalement par le biais d'e-mails de phishing ciblés (pièces jointes ou liens malveillants), de comptes tiers compromis ou de l'exploitation de vulnérabilités connues dans les produits Microsoft Exchange et Office.
MuddyWater abuse des mécanismes de contrôle des comptes d'utilisateurs (UAC) et utilise des techniques de chargement latéral de DLL pour obtenir un accès élevé.
Met en œuvre des méthodes d'obscurcissement, notamment le codage Base64, la stéganographie et l'utilisation d'outils légitimes (LOLBins) tels que CMSTP, Mshta et Rundll32.
Emploie des outils de vidage d'informations d'identification tels que Mimikatz, LaZagne et Browser64 pour extraire des informations d'identification de la mémoire LSASS, des navigateurs web, des clients de messagerie et des informations d'identification de domaine mises en cache.
Utilise des scripts et des malware personnalisés pour l'énumération des comptes, l'analyse des fichiers et des répertoires et la découverte de logiciels, y compris les produits de sécurité.
Utilise des solutions légitimes d'accès à distance telles que Remote Utilities, SimpleHelp, Atera Agent et ScreenConnect pour se déplacer latéralement au sein des réseaux compromis.
La capture de captures d'écran et l'archivage échelonné des données à l'aide d'utilitaires natifs (makecab.exe) sont des pratiques courantes.
Déploie des charges utiles exécutées via PowerShell, Windows Command Shell, VBScript, Python, JavaScript et en utilisant des outils d'accès à distance.
Exfiltre des données via des canaux de commande et de contrôle (C2) en utilisant des communications cryptées et obscurcies sur des protocoles HTTP/DNS.
L'objectif principal est le cyberespionnage, qui se traduit par le vol d'informations sensibles, stratégiques et classifiées, plutôt que par des attaques perturbatrices.
Principalement par le biais d'e-mails de phishing ciblés (pièces jointes ou liens malveillants), de comptes tiers compromis ou de l'exploitation de vulnérabilités connues dans les produits Microsoft Exchange et Office.
MuddyWater abuse des mécanismes de contrôle des comptes d'utilisateurs (UAC) et utilise des techniques de chargement latéral de DLL pour obtenir un accès élevé.
Met en œuvre des méthodes d'obscurcissement, notamment le codage Base64, la stéganographie et l'utilisation d'outils légitimes (LOLBins) tels que CMSTP, Mshta et Rundll32.
Emploie des outils de vidage d'informations d'identification tels que Mimikatz, LaZagne et Browser64 pour extraire des informations d'identification de la mémoire LSASS, des navigateurs web, des clients de messagerie et des informations d'identification de domaine mises en cache.
Utilise des scripts et des malware personnalisés pour l'énumération des comptes, l'analyse des fichiers et des répertoires et la découverte de logiciels, y compris les produits de sécurité.
Utilise des solutions légitimes d'accès à distance telles que Remote Utilities, SimpleHelp, Atera Agent et ScreenConnect pour se déplacer latéralement au sein des réseaux compromis.
La capture de captures d'écran et l'archivage échelonné des données à l'aide d'utilitaires natifs (makecab.exe) sont des pratiques courantes.
Déploie des charges utiles exécutées via PowerShell, Windows Command Shell, VBScript, Python, JavaScript et en utilisant des outils d'accès à distance.
Exfiltre des données via des canaux de commande et de contrôle (C2) en utilisant des communications cryptées et obscurcies sur des protocoles HTTP/DNS.
L'objectif principal est le cyberespionnage, qui se traduit par le vol d'informations sensibles, stratégiques et classifiées, plutôt que par des attaques perturbatrices.
TTP utilisées par MuddyWater
Comment détecter les eaux boueuses avec Vectra AI
Liste des détections disponibles dans la plateforme Vectra AI qui indiqueraient une attaque APT.
Foire aux questions
Qui se cache derrière MuddyWater ?
MuddyWater est attribué au ministère iranien du renseignement et de la sécurité (MOIS).
Quels sont les principaux vecteurs d'attaque de MuddyWater ?
Ils utilisent des courriels de phishing contenant des pièces jointes et des liens malveillants et exploitent des vulnérabilités accessibles au public.
Comment MuddyWater échappe-t-il aux défenses ?
Ils utilisent diverses méthodes d'obscurcissement, des outils légitimes, la stéganographie et le chargement latéral de DLL.
Quels sont les outils malware associés à MuddyWater ?
POWERSTATS, NTSTATS, CloudSTATS, PowGoop, Blackwater, ForeLord, MoriAgent, etc.
Quels sont les secteurs d'activité visés par MuddyWater ?
Télécommunications, défense, universités, pétrole et gaz, soins de santé, technologie, ONG et entités gouvernementales.
Quels outils permettent de détecter les activités de MuddyWater ?
Les organisations devraient tirer parti de solutions avancées de détection et réponse aux incidents (NDR) telles que Vectra AI
Que peuvent faire les organisations pour se défendre contre les attaques de MuddyWater ?
Les organisations doivent appliquer rapidement les correctifs de sécurité, sensibiliser les utilisateurs au phishing , appliquer l'authentification multifactorielle et surveiller de près le trafic réseau et l'activité des utilisateurs.
MuddyWater exploite-t-il les vulnérabilités ?
Oui, ils exploitent des vulnérabilités telles que CVE-2020-0688 (Microsoft Exchange), CVE-2017-0199 (Office) et CVE-2020-1472 (Netlogon).
MuddyWater a-t-il une portée mondiale ?
Oui, bien que principalement active au Moyen-Orient et en Asie, MuddyWater cible des entités dans le monde entier, y compris en Amérique du Nord et en Europe.
Comment une organisation peut-elle détecter le mouvement latéral de MuddyWater ?
Les organisations peuvent détecter efficacement les mouvements latéraux associés à MuddyWater en utilisant des solutions avancées de détection et réponse aux incidents (NDR) telles que Vectra AI. Vectra AI exploite l'intelligence artificielle et les algorithmes d'apprentissage automatique pour surveiller en permanence le trafic réseau et identifier rapidement les comportements anormaux tels que l'utilisation d'outils d'accès à distance non autorisés, les connexions internes suspectes et les schémas d'utilisation d'informations d'identification inattendus. En fournissant une visibilité en temps réel et des alertes prioritaires, Vectra AI permet aux équipes de sécurité d'identifier et de contenir rapidement les menaces posées par MuddyWater avant que des dommages importants ne se produisent.