NOUVEAU

De Clawdbot à OpenClaw : l'automatisation comme porte dérobée numérique. Lire le blog →

Plate-forme

La plateforme NDR qui protège les réseaux modernes contre les attaques modernes.

Protection préventive

Détection et réponse proactives

Armez vos analystes de sécurité avec des informations pour stopper les attaques rapidement. Attack Signal Intelligence analyse en temps réel pour montrer où vous êtes compromis en ce moment même.

Modernisation du SOC

La cyber-résilience

Gestion des risques

Découvrez comment les attaquants modernes exploitent les failles de vos défenses et ce que vous pouvez faire pour les arrêter.

Arrêter la progression de l'attaquant

Confinement renforcé des identités, des appareils et du trafic réseau avec 360 Response.

Tableau de bord de cybersécurité de Vectra AI une enquête de détection avec les détails du profil de l'attaque, les facteurs de notation et un graphique réseau des activités suspectes.

Comparez la Vectra AI à d'autres outils

Les outils EDR, SIEM, SASE, SSE et cloud native laissent des failles que les pirates modernes exploitent. La Vectra AI les comble.

Clients

Recherche

Des points de vue d'experts de nos data scientists, chercheurs en sécurité et ingénieurs pour soutenir votre apprentissage.

Perspectives d'experts sur les menaces et les défenses émergentes

Obtenez des informations sur notre IA pour une détection plus intelligente des menaces

Bulletins d'information sur les cybermenaces pour une défense proactive

Rejoignez nos chercheurs en sécurité, nos data scientists et nos analystes pour échanger autour de l'IA.

Ressources

Nouvelles de dernière heure et avis d'experts.

Blue Team Workshops, webinaires à la demande et événements mondiaux près de chez vous.

Rejoignez nos chercheurs en sécurité, nos data scientists et nos analystes pour échanger autour de l'IA.

Rapports de recherche, anatomies des attaques, livres blancs, guides, fiches techniques et témoignages de clients.

Explications détaillées des problèmes de cybersécurité les plus critiques d'aujourd'hui, des techniques d'attaque et des stratégies d'atténuation.

Vidéos de démonstration et visites guidées

Découvrez la plateforme Vectra AI

Découvrez comment signal unifié de Vectra AI vous permet de détecter et d'arrêter les attaques sophistiquées que d'autres technologies ne voient pas.

Faire la visite interactive

Entreprise

Découvrez pourquoi nous sommes le leader mondial de la sécurité de l'IA

Demandez une introduction avec un expert en sécurité Vectra AI

Guides de déploiement, base de connaissances, notes de mise à jour et annonces de sécurité

L'expertise des chercheurs en sécurité, des scientifiques des données et des ingénieurs.

Dernières nouvelles de Vectra AI

Documents de presse, biographies des dirigeants, logos et images des produits à l'usage des médias

Rejoignez l'équipe à l'origine de la première plateforme de cybersécurité au monde basée sur l'IA.

Hands typing on a laptop keyboard with digital icons including a clock, globe, chat bubble, skull, email, and phone floating above.

Au-delà de la perfection de la configuration : Redéfinir la "sécurité deCloud

Il ne suffit pas de corriger les mauvaises configurations. Trop se concentrer sur la perfection peut créer des angles morts. Découvrez une approche plus intelligente et holistique de la sécurité du cloud .

Eau boueuse

MuddyWater is an Iranian state-sponsored cyber espionage group linked to the Ministry of Intelligence and Security (MOIS) that conducts global intelligence collection through spear-phishing, vulnerability exploitation, and increasingly sophisticated custom command-and-control infrastructure.

Détecter les TTP de MuddyWater

Votre organisation est-elle à l'abri des attaques de MuddyWater ?

Contexte et objectifs

L'origine de MuddyWater

MuddyWater, also tracked as STATIC KITTEN, Earth Vetala, Seedworm, TA450, MERCURY, and Mango Sandstorm, is a cyber espionage group assessed to operate under Iran’s Ministry of Intelligence and Security (MOIS). Active since at least 2017, the group conducts intelligence collection operations against government, academic, defense, telecommunications, and energy organizations worldwide.

Recent research in 2026 revealed operational infrastructure belonging to MuddyWater hosted on a Netherlands-based VPS, which exposed extensive operational artifacts including command-and-control (C2) frameworks, scripts, victim data, and operational logs. Analysis of this infrastructure confirmed that MuddyWater operates multiple internally developed C2 frameworks and leverages a wide ecosystem of open-source tools to support reconnaissance, exploitation, and data exfiltration operations.

The group demonstrates a hybrid operational approach: combining custom-developed malware frameworks, public exploit code, and legitimate administrative tools to maintain access and evade detection. Recent campaigns also demonstrate experimentation with blockchain-based command-and-control mechanisms, highlighting MuddyWater’s evolving technical capabilities.

Pays ciblés

MuddyWater campaigns span multiple regions including the Middle East, Europe, North America, and Central Asia. Recent activity has targeted organizations in Israel, Jordan, Egypt, the United Arab Emirates, Portugal, and the United States, alongside historical operations against entities in Turkey, Iraq, Pakistan, Saudi Arabia, Germany, India, Afghanistan, and Armenia.

Industries ciblées

MuddyWater targets organizations across numerous sectors including government, telecommunications, defense, academic institutions, aviation, healthcare, energy, financial services, NGOs, and technology companies. The group also targets critical infrastructure and organizations involved in immigration, intelligence, and identity systems, indicating a strong focus on intelligence collection.

Energy and Utilities

Financial Services and Banking

Pharmaceuticals and Medical Devices

Real Estate

Federal

Healthcare

Victimes connues

Recent operations identified targets including:

Israeli healthcare organizations, hosting providers, and immigration-related services
Jordanian government webmail infrastructure
UAE engineering and energy companies
Egyptian aviation organizations, including EgyptAir
NGOs connected to Israeli and Jewish communities
A Portuguese government-related immigration system

The targeting aligns closely with Iranian intelligence priorities, including geopolitical, diplomatic, and regional strategic interests.

Méthode d'attaque

Méthode d'attaque de MuddyWater

Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.

MuddyWater gains access through spear-phishing emails, exploitation of public-facing applications, password spraying, and vulnerability exploitation. Recent campaigns leveraged vulnerabilities in Fortinet, Ivanti, Citrix, BeyondTrust, and SolarWinds N-Central, as well as SQL injection vulnerabilities in web applications.

Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.

The group frequently escalates privileges through techniques such as UAC bypass, exploitation of edge device vulnerabilities, and administrative account creation, including the creation of persistent FortiGate administrator accounts during exploitation.

Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.

Defense evasion includes code obfuscation, encrypted payloads, steganography, and masquerading as legitimate services. MuddyWater also hides C2 infrastructure behind compromised websites, proxy networks, and decentralized infrastructure such as blockchain-based C2 resolution.

Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.

Credential theft is performed using tools such as Mimikatz, LaZagne, Browser64, and password spraying attacks targeting Outlook Web Access and SMTP services.

Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.

Malware deployed by MuddyWater gathers system information, domain membership, running processes, security software presence, and network configuration to map the victim environment.

Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.

The group commonly leverages remote monitoring and management (RMM) tools such as ScreenConnect, Atera Agent, SimpleHelp, and Remote Utilities to move laterally across compromised environments.

Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.

Sensitive information is collected from compromised systems including documents, credential databases, screenshots, and locally stored files. In recent campaigns, data included passport scans, visa records, financial documents, and biometric system configurations.

Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.

Payload execution is typically performed using PowerShell, Windows Command Shell, JavaScript, Python, and Visual Basic scripts, often executed via legitimate system utilities such as mshta, rundll32, or CMSTP.

Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.

Data exfiltration occurs through several mechanisms including:

Custom C2 channels
Cloud storage platforms such as Wasabi S3 and put.io
Amazon EC2 servers
Lightweight HTTP file servers
Command-and-control channels using HTTP, DNS, and WebSockets

Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.

MuddyWater operations are primarily focused on covert intelligence gathering, with stolen data including government communications, personal identity documents, organizational records, and internal communications.

Accès Initial

Élévation de privilèges

Défense Evasion

Accès aux identifiants

Credential theft is performed using tools such as Mimikatz, LaZagne, Browser64, and password spraying attacks targeting Outlook Web Access and SMTP services.

Découverte

Malware deployed by MuddyWater gathers system information, domain membership, running processes, security software presence, and network configuration to map the victim environment.

Mouvement latéral

Collection

Exécution

Exfiltration

Data exfiltration occurs through several mechanisms including:

Custom C2 channels
Cloud storage platforms such as Wasabi S3 and put.io
Amazon EC2 servers
Lightweight HTTP file servers
Command-and-control channels using HTTP, DNS, and WebSockets

Impact

MITRE ATT&CK Mapping

TTP utilisées par MuddyWater

TA0001: Initial Access

T1566

Phishing

T1190

Exploit Public-Facing Application

TA0002: Execution

T1203

Exploitation for Client Execution

T1059

Command and Scripting Interpreter

TA0003: Persistence

T1574

Hijack Execution Flow

T1053

Scheduled Task/Job

TA0004: Privilege Escalation

T1548

Abuse Elevation Control Mechanism

T1574

Hijack Execution Flow

T1053

Scheduled Task/Job

TA0005: Defense Evasion

T1548

Abuse Elevation Control Mechanism

T1036

Masquerading

T1027

Obfuscated Files or Information

T1574

Hijack Execution Flow

TA0006: Credential Access

T1555

Credentials from Password Stores

T1003

OS Credential Dumping

TA0007: Discovery

T1087

Account Discovery

TA0008: Lateral Movement

T1210

Exploitation of Remote Services

TA0009: Collection

T1113

Screen Capture

TA0011: Command and Control

T1071

Application Layer Protocol

TA0010: Exfiltration

No items found.

TA0040: Impact

No items found.

Détections de la plate-forme

Comment détecter les eaux boueuses avec Vectra AI

Liste des détections disponibles dans la plateforme Vectra AI qui indiqueraient une attaque APT.

‍

External Remote Access

Hidden DNS Tunnel

Suspicious Remote Execution

Voir plus de détections

Évaluez votre exposition aux attaques

Foire aux questions

Qui se cache derrière MuddyWater ?

MuddyWater est attribué au ministère iranien du renseignement et de la sécurité (MOIS).

Quels sont les principaux vecteurs d'attaque de MuddyWater ?

Ils utilisent des courriels de phishing contenant des pièces jointes et des liens malveillants et exploitent des vulnérabilités accessibles au public.

Comment MuddyWater échappe-t-il aux défenses ?

Ils utilisent diverses méthodes d'obscurcissement, des outils légitimes, la stéganographie et le chargement latéral de DLL.

Quels sont les outils malware associés à MuddyWater ?

POWERSTATS, NTSTATS, CloudSTATS, PowGoop, Blackwater, ForeLord, MoriAgent, etc.

‍

Quels sont les secteurs d'activité visés par MuddyWater ?

Télécommunications, défense, universités, pétrole et gaz, soins de santé, technologie, ONG et entités gouvernementales.

Quels outils permettent de détecter les activités de MuddyWater ?

Les organisations devraient tirer parti de solutions avancées de détection et réponse aux incidents (NDR) telles que Vectra AI

Que peuvent faire les organisations pour se défendre contre les attaques de MuddyWater ?

Les organisations doivent appliquer rapidement les correctifs de sécurité, sensibiliser les utilisateurs au phishing , appliquer l'authentification multifactorielle et surveiller de près le trafic réseau et l'activité des utilisateurs.

‍

MuddyWater exploite-t-il les vulnérabilités ?

Oui, ils exploitent des vulnérabilités telles que CVE-2020-0688 (Microsoft Exchange), CVE-2017-0199 (Office) et CVE-2020-1472 (Netlogon).

MuddyWater a-t-il une portée mondiale ?

Oui, bien que principalement active au Moyen-Orient et en Asie, MuddyWater cible des entités dans le monde entier, y compris en Amérique du Nord et en Europe.

Comment une organisation peut-elle détecter le mouvement latéral de MuddyWater ?

Les organisations peuvent détecter efficacement les mouvements latéraux associés à MuddyWater en utilisant des solutions avancées de détection et réponse aux incidents (NDR) telles que Vectra AI. Vectra AI exploite l'intelligence artificielle et les algorithmes d'apprentissage automatique pour surveiller en permanence le trafic réseau et identifier rapidement les comportements anormaux tels que l'utilisation d'outils d'accès à distance non autorisés, les connexions internes suspectes et les schémas d'utilisation d'informations d'identification inattendus. En fournissant une visibilité en temps réel et des alertes prioritaires, Vectra AI permet aux équipes de sécurité d'identifier et de contenir rapidement les menaces posées par MuddyWater avant que des dommages importants ne se produisent.

Eau boueuse

L'origine de MuddyWater

Pays ciblés

Industries ciblées

Energy and Utilities

Financial Services and Banking

Pharmaceuticals and Medical Devices

Real Estate

Federal

Healthcare

Victimes connues

Méthode d'attaque de MuddyWater

TTP utilisées par MuddyWater

Comment détecter les eaux boueuses avec Vectra AI

External Remote Access

Hidden DNS Tunnel

Suspicious Remote Execution

Votre organisation est-elle à l'abri des attaques de MuddyWater ?

Foire aux questions

Qui se cache derrière MuddyWater ?

Quels sont les principaux vecteurs d'attaque de MuddyWater ?

Comment MuddyWater échappe-t-il aux défenses ?

Quels sont les outils malware associés à MuddyWater ?

Quels sont les secteurs d'activité visés par MuddyWater ?

Quels outils permettent de détecter les activités de MuddyWater ?

Que peuvent faire les organisations pour se défendre contre les attaques de MuddyWater ?

MuddyWater exploite-t-il les vulnérabilités ?

MuddyWater a-t-il une portée mondiale ?

Comment une organisation peut-elle détecter le mouvement latéral de MuddyWater ?