Source: Ctrl-Alt-Intel — Des chercheurs ont compromis et analysé un serveur d’infrastructure d’un APT iranien attribué à MuddyWater (MOIS), exposant outils C2, scripts, journaux et données victimes. Le billet recoupe des éléments publiés par Group-IB et ESET, et s’appuie sur des pivots Hunt.io, avec des chevauchements d’indicateurs observés également par Huntress.

• Contexte et attribution. L’équipe attribue avec haute confiance l’infrastructure à MuddyWater (a.k.a. Static Kitten, Mango Sandstorm, Earth Vetala, Seedworm, TA450). Des artefacts linguistiques en persan, des recoupements d’infrastructures C2 et une victimologie cohérente (Israël, Jordanie, Égypte, EAU, Portugal, États‑Unis) étayent l’évaluation. Un VPS aux Pays-Bas contenait des binaires C2, scripts et journaux d’opérations, avec réutilisation d’IP déjà signalées par Group‑IB et ESET.

• Reconnaissance et accès initial. Les opérateurs ont mené une reconnaissance active via Shodan/Nuclei, subdomain bruteforcing (subfinder, ffuf) et une pipeline personnalisée (Sudomy/Subfinder/OneForAll/dnsx). L’accès initial combine exploitation de CVE (ex. Ivanti EPMM CVE‑2026‑1281, BeyondTrust RCE CVE‑2026‑1731, Fortinet FortiOS CVE‑2024‑55591/CVE‑2024‑23113/CVE‑2022‑42475, N‑central CVE‑2025‑9316, etc.), SQLi inédites (marché iranien BaSalam, plateforme de dev Postgres), et password spraying OWA/SMTP (patator). Un PoC Fortinet modifié tente de créer un compte admin persistant (FortiSetup, super_admin), l’artefact d’IP 194.11.246[.]101 recoupant un C2 déjà noté par ESET.

• Command & Control et pivoting. Trois frameworks C2 maison sont décrits: KeyC2 (Python/UDP 1269, exécution de commandes, transfert de fichiers, migration C2), PersianC2 (HTTP polling, tableau de bord, staging, ajustement du sleep), et ArenaC2 (HTTP POST via FastAPI/uvicorn, AES‑256‑CBC, page leurre « ArenaReport », endpoints de tasking). Un loader PowerShell (reset.ps1) déploie un bot Node.js de type Tsundere, persistant via Run key, qui récupère le C2 via un contrat Ethereum (getString() sur 0x2B7767… avec liste de RPCs). Pour le pivot réseau, les opérateurs utilisent Neo‑reGeorg, resocks et revsocks (SOCKS, WebSocket) après dépôt de webshell sur un Exchange portugais.

• Exfiltration et victimes. L’exfiltration est réalisée via les canaux C2, mais aussi vers Wasabi S3, put.io, et un serveur Flask (port 10443) ainsi qu’une instance Amazon EC2 (18.223.24[.]218). Des commandes PowerShell montrent une exfiltration de répertoires sensibles. Les données volées incluent passeports/visas, reçus aéroportuaires, documents légaux/financiers, médias WhatsApp — principalement liées à EgyptAir — et des fichiers ZKTeco (contrôle d’accès biométrique). Une victime identifiée: un distributeur israélien d’équipements scientifiques.

• IOCs principaux.

  • IPs: 185.236.25[.]119; 193.17.183[.]126; 162.0.230[.]185; 157.20.182[.]49; 209.74.87[.]100; 18.223.24[.]218; 194.11.246[.]101
  • Domaine: www.xt24[.]com
  • Fichiers: reset.ps1; VfZUSQi6oerKau.js; sysuu2etiprun.js
  • Smart contract: 0x2B77671cfEE4907776a95abbb9681eee598c102E (func getString())
  • Hashes: reset.ps1 (7ab597ff0b1a5e6916cad1662b49f58231867a1d4fa91a4edf7ecb73c3ec7fe6); VfZUSQi6oerKau.js (c8589c…ddcb3d); sysuu2etiprun.js (bedb88…e230f)

• TTPs clés (MITRE ATT&CK).

  • Recon: T1595.002/003 (Nuclei, ffuf), T1590.002 (subfinder), infra VPS (T1583.003), outils publics (T1588.002/.005)
  • Accès initial: T1190 (Fortinet, Ivanti, BeyondTrust, SQLi), T1110.003/.001 (OWA/SMTP spraying)
  • Exécution/Persistance: T1059.001/.003/.007 (PowerShell, cmd, JS), T1547.001 (Run key), T1136.001 (compte local FortiSetup), T1505.003 (webshell)
  • C2: T1071.001 (HTTP), T1095 (UDP 1269), T1573.001 (canal chiffré AES‑256‑CBC), T1102.001 (résolveur via Ethereum), T1571 (ports non standards), T1090.002 (proxies SOCKS)
  • Exfiltration: T1041 (sur canal C2), T1567 (Web/Cloud), T1048 (protocole alternatif via Flask/EC2)

Conclusion: Publication de recherche technique dévoilant une campagne d’espionnage de MuddyWater, ses infrastructures C2, ses voies d’accès et d’exfiltration, et fournissant IOCs/TTPs pour la défense.

🧠 TTPs et IOCs détectés

TTP

[‘T1595.002’, ‘T1595.003’, ‘T1590.002’, ‘T1583.003’, ‘T1588.002’, ‘T1588.005’, ‘T1190’, ‘T1110.003’, ‘T1110.001’, ‘T1059.001’, ‘T1059.003’, ‘T1059.007’, ‘T1547.001’, ‘T1136.001’, ‘T1505.003’, ‘T1071.001’, ‘T1095’, ‘T1573.001’, ‘T1102.001’, ‘T1571’, ‘T1090.002’, ‘T1041’, ‘T1567’, ‘T1048’]

IOC

{‘hashes’: [‘7ab597ff0b1a5e6916cad1662b49f58231867a1d4fa91a4edf7ecb73c3ec7fe6’, ‘c8589c…ddcb3d’, ‘bedb88…e230f’], ‘domain’: ‘www.xt24[.]com’, ‘ips’: [‘185.236.25[.]119’, ‘193.17.183[.]126’, ‘162.0.230[.]185’, ‘157.20.182[.]49’, ‘209.74.87[.]100’, ‘18.223.24[.]218’, ‘194.11.246[.]101’]}

🔗 Source originale : https://ctrlaltintel.com/threat%20research/MuddyWater/