🕵️ Contexte

Publié le 22 mars 2026 sur le blog de Marc-Frédéric Gomez, ce document est une fiche de renseignement CTI (TLP:CLEAR) mise à jour sur le groupe APT iranien MERCURY/MuddyWater (alias Mango Sandstorm, Seedworm, Static Kitten, TA450, Boggy Serpens, Earth Vetala, TEMP.Zagros, G0069). Il constitue une synthèse analytique structurée à destination des équipes CTI.

🏴 Attribution & Sponsor

Le groupe est subordonné au MOIS (Ministry of Intelligence and Security iranien), attribution formalisée dans un avis conjoint FBI/CISA/CNMF/NCSC-UK du 24 février 2022. Un lien opérationnel avec Storm-1084 (DarkBit) est documenté par Microsoft. Le groupe partage la même tutelle institutionnelle qu’APT39 mais constitue un cluster distinct.

📈 Évolution en trois phases (2017-2026)

  • Phase I (2017-2022) : Scripts PowerShell/VBS, arsenal POWERSTATS, PowGoop, Small Sieve, Canopy/Starwhale, Mori
  • Phase II (2023-2024) : Abus d’outils RMM légitimes (SimpleHelp, ScreenConnect, N-able) comme C2 principal, émergence de BugSleep/MuddyRot
  • Phase III (2024-2026) : Malwares custom en Rust (RustyWater), intégration de l’IA générative, C2 via bots Telegram, extension vers les États-Unis et le Canada (campagne Dindoor, mars 2026)

🛠️ Arsenal malware documenté

  • POWERSTATS : backdoor PowerShell legacy (2017)
  • PowGoop : DLL loader via DLL side-loading GoogleUpdate.exe
  • Small Sieve : backdoor Python, C2 Telegram (premier usage documenté)
  • Canopy/Starwhale : backdoor VBScript distribué via spear-phishing Excel
  • Mori : backdoor Windows avec DNS tunneling
  • PhonyC2 / MuddyC2Go / DarkBeatC2 : frameworks C2 custom successifs
  • BugSleep (MuddyRot) : backdoor injecté dans processus légitimes, obfuscation XOR
  • MuddyViper (Fooder) : framework modulaire (VAXOne, CE-Notes, LP-Notes, Blub, Mimikatz custom)
  • RustyWater : RAT Rust, keylogging, capture écran, vol credentials (janvier 2026)
  • Dindoor : backdoor JavaScript (runtime Deno), exfiltration via Rclone/Wasabi (mars 2026)
  • CHAR / GhostBackDoor / GhostFetch / HTTP_VIP : kit Operation Olalampo, développement assisté par IA (janvier-février 2026)
  • DCHSpy / PINEFLOWER-M : spyware Android ciblant dissidents et journalistes

🌍 Ciblage géographique et sectoriel

Cibles prioritaires : Israël, Arabie saoudite, EAU, Turquie, Pakistan, avec extension documentée vers États-Unis et Canada en 2025-2026. Secteurs visés : gouvernement, défense, télécommunications, énergie, finance, académique, ONG, IT/supply chain, transport maritime.

🔗 Infrastructure C2

Évolution vers des services cloud légitimes (Cloudflare, Wasabi), bots Telegram, et maintien des outils RMM légitimes (SimpleHelp, ScreenConnect, Atera, AnyDesk) livrés via archives password-protected sur OneDrive/Google Drive/WeTransfer. Domaine C2 documenté imitant Google : googleonlinee[.]com.

📋 Type de document

Il s’agit d’une analyse de menace structurée (fiche CTI), visant à fournir une vue consolidée et exploitable du groupe MERCURY/MuddyWater pour les équipes de threat intelligence.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • MuddyWater (state-sponsored)
  • Storm-1084 (state-sponsored)
  • APT39 (state-sponsored)

TTP

  • T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1195 — Supply Chain Compromise (Initial Access)
  • T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
  • T1059.005 — Command and Scripting Interpreter: Visual Basic (Execution)
  • T1204.002 — User Execution: Malicious File (Execution)
  • T1574.002 — Hijack Execution Flow: DLL Side-Loading (Persistence)
  • T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
  • T1053.005 — Scheduled Task/Job: Scheduled Task (Persistence)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1036 — Masquerading (Defense Evasion)
  • T1055 — Process Injection (Defense Evasion)
  • T1497.003 — Virtualization/Sandbox Evasion: Time Based Evasion (Defense Evasion)
  • T1003 — OS Credential Dumping (Credential Access)
  • T1555.003 — Credentials from Password Stores: Credentials from Web Browsers (Credential Access)
  • T1113 — Screen Capture (Collection)
  • T1056.001 — Input Capture: Keylogging (Collection)
  • T1125 — Video Capture (Collection)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1071.003 — Application Layer Protocol: Mail Protocols (Command and Control)
  • T1219 — Remote Access Software (Command and Control)
  • T1021 — Remote Services (Lateral Movement)
  • T1567 — Exfiltration Over Web Service (Exfiltration)
  • T1486 — Data Encrypted for Impact (Impact)

IOC

  • Domaines : googleonlinee.com
  • Fichiers : goopdate.dll
  • Fichiers : goopdate.dat
  • Fichiers : goopdate86.dll

Malware / Outils

  • POWERSTATS (backdoor)
  • PowGoop (loader)
  • Small Sieve (backdoor)
  • Canopy (backdoor)
  • Starwhale (backdoor)
  • Mori (backdoor)
  • PhonyC2 (framework)
  • MuddyC2Go (framework)
  • DarkBeatC2 (framework)
  • BugSleep (backdoor)
  • MuddyViper (framework)
  • VAXOne (backdoor)
  • RustyWater (rat)
  • Dindoor (backdoor)
  • CHAR (backdoor)
  • GhostBackDoor (backdoor)
  • GhostFetch (loader)
  • HTTP_VIP (other)
  • DCHSpy (other)
  • PINEFLOWER-M (other)
  • Thanos (ransomware)
  • SimpleHelp (tool)
  • ScreenConnect (tool)
  • N-able (tool)
  • Atera (tool)
  • AnyDesk (tool)
  • Supremo (tool)
  • Chisel (tool)
  • Rclone (tool)
  • Mimikatz (tool)
  • CE-Notes (stealer)
  • Blub (stealer)
  • LP-Notes (other)
  • MuddyC3 (framework)

🔗 Source originale : https://blog.marcfredericgomez.fr/fiche-de-renseignement-mercury-muddywater-mango-sandstorm/