MuddyWater évolue vers des opérations ciblées avec des backdoors sur mesure et une infrastructure C2 cloisonnée (analyse Group-IB)

Selon Group-IB, MuddyWater (APT iranien soutenu par l’État) est passé d’opérations opportunistes via outils RMM (remote monitoring and management) à des campagnes ciblées et sophistiquées contre des entités au Moyen-Orient, en Europe et aux États-Unis, dont des infrastructures critiques, gouvernements et télécoms. L’accès initial reste largement mené via du phishing et des documents Office malveillants. 🕵️‍♂️

Le groupe opère plusieurs backdoors personnalisées avec des protocoles C2 distincts : BugSleep (pseudo-TLV custom sur TCP avec chiffrement AES), StealthCache (HTTP/HTTPS avec des endpoints dédiés), et Phoenix (HTTP avec endpoints d’enregistrement et de beaconing). Le loader Fooder s’appuie sur Windows CryptAPI pour déchiffrer les charges, met en œuvre du DLL side-loading et du multi-threading pour l’évasion. 🧩

Côté infrastructure, les opérateurs recourent à des hébergeurs variés, incluant AWS, Cloudflare et des fournisseurs bulletproof, avec des backends C2 en Python (frameworks/serveurs repérés : werkzeug, uvicorn) et une protection Cloudflare. Leur OPSEC avancée inclut le cloisonnement de l’infrastructure, une faible fenêtre d’activité C2 et l’usage de VPN. 🔐

Indicateurs et artefacts (IOCs):

• Endpoints StealthCache: /aq36, /q2qq32, /mq65
• Endpoints Phoenix: /register, /iamalive, /request
• Caractéristiques C2: backends Python (werkzeug, uvicorn); protection Cloudflare; hébergement sur AWS et services bulletproof

TTPs observés:

• Phishing et documents Office malveillants pour l’accès initial
• DLL side-loading, multi-threading et Windows CryptAPI pour le chargement et l’évasion
• Protocoles C2 personnalisés (pseudo-TLV sur TCP avec AES; HTTP/HTTPS avec endpoints spécifiques)
• OPSEC: cloisonnement, C2 à disponibilité limitée, VPN

Il s’agit d’une analyse de menace visant à profiler le groupe, ses malwares (BugSleep, StealthCache, Phoenix) et son infrastructure C2, ainsi que leurs méthodes d’opération.

🧠 TTPs et IOCs détectés

TTPs

[‘Phishing’, “Documents Office malveillants pour l’accès initial”, ‘DLL side-loading’, ‘Multi-threading’, “Utilisation de Windows CryptAPI pour le chargement et l’évasion”, ‘Protocoles C2 personnalisés’, “OPSEC avancée avec cloisonnement de l’infrastructure”, ‘C2 à disponibilité limitée’, ‘Utilisation de VPN’]

IOCs

[‘Endpoints StealthCache: /aq36, /q2qq32, /mq65’, ‘Endpoints Phoenix: /register, /iamalive, /request’, ‘Caractéristiques C2: backends Python (werkzeug, uvicorn); protection Cloudflare; hébergement sur AWS et services bulletproof’]

---

🔗 Source originale : https://www.group-ib.com/blog/muddywater-infrastructure-malware/