Selon Group-IB Threat Intelligence, une campagne d’espionnage attribuée avec haute confiance à l’APT iranien MuddyWater a ciblé plus de 100 entités gouvernementales et des organisations internationales, principalement au Moyen-Orient et en Afrique du Nord, en août 2025.

🚨 Vecteur et kill chain. Les attaquants ont utilisé un compte email compromis (accédé via NordVPN) pour envoyer de faux courriels avec pièces jointes Microsoft Word incitant à « activer le contenu ». L’activation des macros exécute un VBA dropper qui écrit un loader « FakeUpdate » sur disque. Ce loader déchiffre et injecte le backdoor Phoenix v4 (nom de fichier sysProcUpdate) qui s’enregistre au C2 screenai[.]online, beaconne en continu et reçoit des commandes via WinHTTP.

🧩 Capacités et persistance. Phoenix v4 collecte des infos système, se copie en C:\ProgramData\sysprocupdate.exe, et établit une persistance via HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon (valeur Shell). Une DLL COM embarquée (artefact non exécuté ici) montre un second mécanisme de persistance visant C:\Users\Public\Downloads\Mononoke.exe. La cartographie des commandes comprend: 65 (Sleep), 68 (Upload), 85 (Download), 67 (Start Shell), 83 (Update sleep interval).

Attribution et infrastructure. L’attribution à MuddyWater repose sur: réutilisation de malwares personnalisés (FakeUpdate, Phoenix), similarités de macro (hash de macro fourni), techniques de décodage de chaînes d’un voleur d’identifiants sur le C2, présence d’outils PDQ RMM déjà observés, et une victimologie conforme (MENA, organisations internationales). Le domaine screenai[.]online (NameCheap, 2025-08-17) était protégé par Cloudflare; via le certificat SSL, Group-IB a identifié l’IP réelle 159.198.36.115 (ASN NameCheap). La fenêtre d’activité serveur a duré ~5 jours (19–24 août 2025), d’abord sous Uvicorn puis Apache (503), avec une page « ScreenAI | Your On-Screen Content Genius ».

🧪 Outils additionnels observés. Un stealer Chromium sur le C2 (déguisé en calculatrice) extrait clés et identifiants depuis Chrome/Edge/Brave/Opera, écrit les données chiffrées dans C:\Users\Public\Downloads\cobe-notes.txt, et relance le navigateur pour réduire la suspicion. Des outils RMM (Action1, PDQ) figuraient sur un répertoire web ouvert (SimpleHTTPServer), suggérant leur usage post-compromission.

📌 IOCs principaux.

  • Domaines/C2: screenai[.]online (créé 2025-08-17), IP réelle 159.198.36.115
  • URL outil: hxxp://159.198.36[.]115:4444/chromium_stealer_user.exe
  • Fichiers/paths: C:\Users\Public\Documents\ManagerProc.log; C:\ProgramData\sysprocupdate.exe; HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon (Shell); C:\Users\Public\Downloads\Mononoke.exe
  • Hash macro VBA: 40dead1e1d83107698ff96bce9ea52236803b15b63fb0002e0b55af71a9b5e05
  • Hashs (Phoenix/artefacts): • mononoke.exe: 668dd5b6fb06fe30a98dd59dd802258b45394ccd7cd610f0aaab43d801bf1a1e; 5ec5a2adaa82a983fcc42ed9f720f4e894652bd7bd1f366826a16ac98bb91839 • sysProcUpdate: 1883db6de22d98ed00f8719b11de5bf1d02fc206b89fedd6dd0df0e8d40c4c56; 3ac8283916547c50501eed8e7c3a77f0ae8b009c7b72275be8726a5b6ae255e3; 76fa8dca768b64aefedd85f7d0a33c2693b94bdb55f40ced7830561e48e39c75; 3d6f69cc0330b302ddf4701bbc956b8fca683d1c1b3146768dcbce4a1a3932ca

🔬 TTPs observés.

  • Phishing via boîte mail compromise et VPN (NordVPN) pour l’envoi
  • Pièces jointes Word demandant l’activation de macros VBA (dropper) → FakeUpdate (AES) → Phoenix v4
  • Injection dans le processus du loader; C2 via WinHTTP; beaconing et exécution de commandes
  • Persistance: Winlogon Shell (HKCU) et COM DLL pointant vers Mononoke.exe
  • RMM: Action1, PDQ pour accès/persistance; credential stealer Chromium custom
  • Infrastructure: domaine NameCheap, Cloudflare fronting, découverte IP réelle via SSL; fenêtre opérationnelle courte

Conclusion: Il s’agit d’une analyse de menace détaillée visant à documenter l’opération d’espionnage, les outils personnalisés et l’infrastructure C2 de MuddyWater, ainsi que les IOCs/TTPs associés.

🧠 TTPs et IOCs détectés

TTP

[‘Phishing via boîte mail compromise et VPN (NordVPN) pour l’envoi’, ‘Pièces jointes Word demandant l’activation de macros VBA (dropper)’, ‘Injection dans le processus du loader’, ‘C2 via WinHTTP’, ‘Beaconing et exécution de commandes’, ‘Persistance: Winlogon Shell (HKCU) et COM DLL pointant vers Mononoke.exe’, “Utilisation d’outils RMM: Action1, PDQ pour accès/persistance”, ‘Credential stealer Chromium custom’, ‘Infrastructure: domaine NameCheap, Cloudflare fronting, découverte IP réelle via SSL’, ‘Fenêtre opérationnelle courte’]

IOC

{‘domain’: ‘screenai[.]online’, ‘ip’: ‘159.198.36.115’, ‘url’: ‘hxxp://159.198.36[.]115:4444/chromium_stealer_user.exe’, ‘file_paths’: [‘C:\Users\Public\Documents\ManagerProc.log’, ‘C:\ProgramData\sysprocupdate.exe’, ‘HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon (Shell)’, ‘C:\Users\Public\Downloads\Mononoke.exe’], ‘hashes’: {‘macro_vba’: ‘40dead1e1d83107698ff96bce9ea52236803b15b63fb0002e0b55af71a9b5e05’, ‘mononoke.exe’: [‘668dd5b6fb06fe30a98dd59dd802258b45394ccd7cd610f0aaab43d801bf1a1e’, ‘5ec5a2adaa82a983fcc42ed9f720f4e894652bd7bd1f366826a16ac98bb91839’], ‘sysProcUpdate’: [‘1883db6de22d98ed00f8719b11de5bf1d02fc206b89fedd6dd0df0e8d40c4c56’, ‘3ac8283916547c50501eed8e7c3a77f0ae8b009c7b72275be8726a5b6ae255e3’, ‘76fa8dca768b64aefedd85f7d0a33c2693b94bdb55f40ced7830561e48e39c75’, ‘3d6f69cc0330b302ddf4701bbc956b8fca683d1c1b3146768dcbce4a1a3932ca’]}}

🔗 Source originale : https://www.group-ib.com/blog/muddywater-espionage/