Selon Hunt.io (billet du 20 août 2025, avec recoupements Trellix), une campagne sophistiquée attribuée à APT MuddyWater cible des directeurs financiers sur plusieurs continents via des leurres hébergés sur Firebase/Web.app, des scripts VBS et l’abus d’outils légitimes pour maintenir un accès persistant.

• Panorama de l’attaque 🎯: Des e‑mails d’hameçonnage ciblé se faisant passer pour un recruteur de Rothschild & Co mènent vers des pages Firebase avec CAPTCHA/maths et redirections AES chiffrées. La chaîne d’infection déploie des scripts VBS, livre des charges additionnelles depuis une infrastructure contrôlée et installe NetBird et OpenSSH afin d’établir une persistance et un contrôle à distance. Les opérateurs abusent également d’outils légitimes comme AteraAgent.exe. Des recoupements d’IoC, d’infrastructure et de TTPs alignent cette activité avec APT MuddyWater.

• Chaîne d’infection 🧩: Après le leurre Firebase/Web.app et la résolution du « math‑gate », la victime est dirigée vers une fausse page Google Drive proposant « F-144822.PDF » qui télécharge en réalité F-144822.zip contenant F-144822.vbs. Ce VBS récupère un second étage depuis 198.46.178[.]135 (cis.ico → cis.vbs), affiche une fausse page d’erreur, puis télécharge/extrait « trm » (trm.zip) et installe silencieusement netbird.msi et OpenSSH.msi. Le script lance NetBird avec une clé de configuration prédéfinie, crée un compte admin caché (user / Bs@202122), active RDP, ajuste le pare‑feu, et ajoute des tâches planifiées pour redémarrer NetBird, tout en masquant les raccourcis NetBird.

• Infrastructure et pivots 🔗: Les opérateurs utilisent des projets Firebase/Web.app à chemins variables (/job/ vs /scan/), notamment les domaines « googl‑* » et « cloud‑* », avec des redirections AES (CryptoJS) en modes ECB ou format OpenSSL Salted__. Les redirections mènent notamment vers my1cloudlive[.]com, my2cloudlive[.]com et web‑16fe[.]app. L’infrastructure a évolué de 192.3.95.152 (observé avec Gophish sur 3333) vers 198.46.178.135 pour l’hébergement des charges « cis »/« trm ». Un domaine relié, my‑sharepoint‑inc[.]com, a servi des VBS droppers déployant AteraAgent.exe, en cohérence avec les TTPs historiques de MuddyWater. La campagne vise des CFOs en Europe, Amérique du Nord/Sud, Afrique et Asie.

• Mesures listées par la source 🛡️: Blocage proactif des IPs/domaines associés (ex. 192.3.95.152, 198.46.178.135, my‑sharepoint‑inc[.]com, Firebase/Web.app liés), restriction/allowlisting d’outils légitimes (AteraAgent, NetBird), détection avancée des VBS/ZIP/URLs malveillants, et règles EDR/SIEM pour l’exécution VBS, la création d’admins locaux suspects et la création de service NetBird.

• IOCs clés 🧪:

  • Domaines: googl-6c11f.firebaseapp[.]com; googl-6c11f.web[.]app; googl-165a0.web[.]app; cloud-ed980.firebaseapp[.]com; cloud-ed980.web[.]app; cloud-233f9.firebaseapp[.]com; cloud-233f9.web[.]app; my1cloudlive[.]com; my2cloudlive[.]com; web-16fe[.]app; my-sharepoint-inc[.]com
  • IPs: 192[.]3[.]95[.]152; 198[.]46[.]178[.]135
  • URLs exemples: hxxp://192[.]3[.]95[.]152/cloudshare/atr/pull.pdf; hxxp://192[.]3[.]95[.]152/cloudshare/atr/trm; http://198.46.178[.]135/34564/cis.ico; http://198.46.178[.]135/34564/files/001
  • Fichiers: Rothschild_&_Co-6745763.zip; F-144822.zip; F-144822.vbs; cis.vbs; (droppers) CERT_LOCT_C3860_012025.vbs; ATTESTATION_LETPOLC3860_13891333.vbs; VIN_SELECTION_C3860_102024.vbs
  • Hashes (MD5): F-144822.zip (23dda825f91be93f5de415886f17ad4a); F-144822.vbs (5325de5231458543349152f0ea1cc3df); cis.vbs (0aa883cd659ef9957fded2516b70c341); droppers (7ddc947ce8999c8a4a36ac170dcd7505; 2cddc7a31ea289e8c1e5469f094e975a; f359f20dbd4b1cb578d521052a1b0e9f)
  • Identifiants/Clés: admin local « user / Bs@202122 »; NetBird setup key « E48E4A70-4CF4-4A77-946B-C8E50A60855A »

• TTPs observés 🕵️: Spear‑phishing ciblant CFOs; usurpation de recruteur Rothschild & Co; pages Firebase/Web.app avec « math‑gate » et redirections AES (CryptoJS, ECB/OpenSSL Salted__); VBS downloaders multi‑étapes via PowerShell caché; installation de NetBird et OpenSSH; création de compte admin caché, activation RDP et règles pare‑feu; tâches planifiées de persistance; suppression de raccourcis NetBird; abus d’outils légitimes (NetBird, AteraAgent); Gophish sur l’infrastructure historique; rotation de chemins (/job/ vs /scan/) et changement de C2 (192.3.95.152 → 198.46.178.135).

En somme, il s’agit d’une analyse de menace documentant une campagne en cours, ses infrastructures, artefacts et techniques, avec l’objectif principal d’attribuer, contextualiser et fournir des IoCs/TTPs.

🧠 TTPs et IOCs détectés

TTP

Spear-phishing ciblant CFOs; usurpation de recruteur Rothschild & Co; pages Firebase/Web.app avec ‘math-gate’ et redirections AES (CryptoJS, ECB/OpenSSL Salted__); VBS downloaders multi-étapes via PowerShell caché; installation de NetBird et OpenSSH; création de compte admin caché, activation RDP et règles pare-feu; tâches planifiées de persistance; suppression de raccourcis NetBird; abus d’outils légitimes (NetBird, AteraAgent); Gophish sur l’infrastructure historique; rotation de chemins (/job/ vs /scan/) et changement de C2 (192.3.95.152 → 198.46.178.135).

IOC

{‘hash’: [‘23dda825f91be93f5de415886f17ad4a’, ‘5325de5231458543349152f0ea1cc3df’, ‘0aa883cd659ef9957fded2516b70c341’, ‘7ddc947ce8999c8a4a36ac170dcd7505’, ‘2cddc7a31ea289e8c1e5469f094e975a’, ‘f359f20dbd4b1cb578d521052a1b0e9f’], ‘domaine’: [‘googl-6c11f.firebaseapp[.]com’, ‘googl-6c11f.web[.]app’, ‘googl-165a0.web[.]app’, ‘cloud-ed980.firebaseapp[.]com’, ‘cloud-ed980.web[.]app’, ‘cloud-233f9.firebaseapp[.]com’, ‘cloud-233f9.web[.]app’, ‘my1cloudlive[.]com’, ‘my2cloudlive[.]com’, ‘web-16fe[.]app’, ‘my-sharepoint-inc[.]com’], ‘ip’: [‘192[.]3[.]95[.]152’, ‘198[.]46[.]178[.]135’]}

🔗 Source originale : https://hunt.io/blog/apt-muddywater-deploys-multi-stage-phishing-to-target-cfos