MuddyWater

🔍 Contexte Publié le 23 avril 2026 par le Citizen Lab (Université de Toronto), ce rapport de recherche documente deux campagnes distinctes de surveillance télécom menées par des acteurs désignés STA1 et STA2, identifiés comme des vendeurs commerciaux de surveillance (CSV) opérant probablement pour le compte d’États. L’investigation a débuté fin 2024 suite à l’analyse de logs de pare-feu de signalisation mobile, en collaboration avec Cellusys, Telenor Linx, Roaming Audit et P1 Security. ...

🔍 Contexte Publié le 21 avril 2026 par Hunt.io, cet article présente une analyse technique approfondie de DinDoor, un backdoor basé sur le runtime Deno, variante du Tsundere Botnet, précédemment documenté par Broadcom en mars 2026 et attribué au groupe APT iranien Seedworm (MuddyWater). 🎯 Vecteur d’infection et chaîne d’exécution Deux échantillons MSI ont été analysés : migcredit.pdf.msi (SHA256: 7b793c54a927da36649eb62b9481d5bcf1e9220035d95bbfb85f44a6cc9541ae) : utilise une double extension pour se faire passer pour un PDF, cible apparente d’une entreprise russe de microcrédit (MigCredit). Dépose Juliet_widget15.ps1 dans AppData\Local\documents\, écrit le payload JS sur disque (Uniform_system17.js). Installer_v1.21.66.msi (SHA256: 2a09bbb3d1ddb729ea7591f197b5955453aa3769c6fb98a5ef60c6e4b7df23a5) : construit avec WiX Toolset, signé avec le certificat ‘Amy Cherne’ lié à MuddyWater et CastleRAT. Exécute error.vbs pour afficher une fausse erreur, puis lance silencieusement Viper_controller36.vbs → tango_utility84.ps1. Le payload JS est exécuté entièrement en mémoire via URI data:application/javascript;base64. ⚙️ Comportement du payload Deno Mutex via TCP : bind sur 127.0.0.1:10091 (migcredit) ou 127.0.0.1:10044 (Installer) ; si le port est occupé, Deno.exit(1) est appelé. Fingerprinting : hash dual rolling initialisé à 0x9E3779B9, combinant USERNAME, hostname, mémoire totale et OS release → identifiant hexadécimal 16 caractères envoyé à chaque requête C2. Health check : GET /health avec timeout 3 secondes, attend HTTP 200 avec corps ok. C2 URL (Installer) : http://serialmenot[.]com/mv2/<JWT>/<victim_hash> avec JWT hardcodé exposant des métadonnées de campagne. Détection sandbox : énumération GPU via Get-WmiObject Win32_VideoController. Beacon : toutes les secondes (Installer) ou toutes les 30 secondes (migcredit), rotation d’index C2 en cas d’échec. 🌐 Infrastructure C2 et pivoting La réponse HTTP des serveurs DinDoor présente une empreinte distinctive : ...

🔍 Contexte Rapport technique publié le 6 avril 2026 par JUMPSEC, basé sur l’analyse d’un serveur C2 mal configuré, de 15 échantillons de malware et d’un nouveau payload PE. L’analyse s’inscrit dans la continuité des travaux de Symantec, Check Point, Malwarebytes et Recorded Future sur MuddyWater et CastleRAT. 🎯 Acteurs et relation MuddyWater (alias Seedworm, Mango Sandstorm, TA450, Static Kitten), groupe d’espionnage iranien opérant sous le Ministry of Intelligence and Security (MOIS), est identifié comme client de la plateforme MaaS TAG-150, développée par des cybercriminels russophones. Cette relation est confirmée par trois chaînes de preuves indépendantes. ...

📋 Contexte : Le CERT-EU, service de cybersécurité des institutions, organes et agences de l’Union européenne, publie le 8 avril 2026 son rapport annuel sur le paysage des menaces cyber pour l’année 2025 (TLP:CLEAR). Ce rapport s’appuie sur l’analyse des activités malveillantes d’intérêt (MAI) collectées tout au long de 2025, avec une expansion significative de l’usage de l’automatisation et de l’IA dans les processus de surveillance. 🎯 Acteurs et origines : En 2025, 174 acteurs malveillants distincts ont été identifiés (contre 110 en 2024). Les activités liées à la Chine représentent 37% des MAI attribuées, suivies par la Russie (32%), la Corée du Nord (11%) et l’Iran (7%). Les acteurs liés à la Chine ont principalement exploité des vulnérabilités et des compromissions de chaîne d’approvisionnement. Les acteurs liés à la Russie ont ciblé prioritairement les entités soutenant l’Ukraine. ...

📅 Source et contexte : Analyse publiée le 30 mars 2026 sur le blog krypt3ia.wordpress.com, portant sur l’évaluation de l’efficacité opérationnelle des campagnes cyber-influence du groupe Handala, acteur lié à des clusters alignés sur l’État iranien. 🎭 Profil de l’acteur : Handala est décrit comme un moteur d’amplification narrative plutôt qu’un acteur cyber sophistiqué. Le groupe est associé en sources ouvertes à MuddyWater (alias Seedworm / MERCURY / Static Kitten / Mango Sandstorm / MOIST GRASSHOPPER) et à l’activité liée au MOIS (Ministry of Intelligence and Security iranien). ...

🕵️ Contexte Publié le 22 mars 2026 sur le blog de Marc-Frédéric Gomez, ce document est une fiche de renseignement CTI (TLP:CLEAR) mise à jour sur le groupe APT iranien MERCURY/MuddyWater (alias Mango Sandstorm, Seedworm, Static Kitten, TA450, Boggy Serpens, Earth Vetala, TEMP.Zagros, G0069). Il constitue une synthèse analytique structurée à destination des équipes CTI. 🏴 Attribution & Sponsor Le groupe est subordonné au MOIS (Ministry of Intelligence and Security iranien), attribution formalisée dans un avis conjoint FBI/CISA/CNMF/NCSC-UK du 24 février 2022. Un lien opérationnel avec Storm-1084 (DarkBit) est documenté par Microsoft. Le groupe partage la même tutelle institutionnelle qu’APT39 mais constitue un cluster distinct. ...

Le groupe iranien MuddyWater a mené en février-mars 2026 une campagne d’espionnage ciblée utilisant deux nouveaux malwares, Dindoor et Fakeset, contre des organisations financières, aéroportuaires et de défense aux États-Unis, en Israël et au Canada. 🌐 Contexte Rapport publié le 20 mars 2026 par Krypt3ia, analysant une campagne d’intrusion conduite entre février et mars 2026 par le groupe iranien MuddyWater (aussi connu sous les alias Seedworm, MERCURY, Static Kitten, MOIST KEYCHAIN, Mango Sandstorm), aligné avec le Ministère du Renseignement et de la Sécurité iranien (MOIS). ...

Source: Ctrl-Alt-Intel — Des chercheurs ont compromis et analysé un serveur d’infrastructure d’un APT iranien attribué à MuddyWater (MOIS), exposant outils C2, scripts, journaux et données victimes. Le billet recoupe des éléments publiés par Group-IB et ESET, et s’appuie sur des pivots Hunt.io, avec des chevauchements d’indicateurs observés également par Huntress. • Contexte et attribution. L’équipe attribue avec haute confiance l’infrastructure à MuddyWater (a.k.a. Static Kitten, Mango Sandstorm, Earth Vetala, Seedworm, TA450). Des artefacts linguistiques en persan, des recoupements d’infrastructures C2 et une victimologie cohérente (Israël, Jordanie, Égypte, EAU, Portugal, États‑Unis) étayent l’évaluation. Un VPS aux Pays-Bas contenait des binaires C2, scripts et journaux d’opérations, avec réutilisation d’IP déjà signalées par Group‑IB et ESET. ...

Source: BleepingComputer — L’article rapporte que le groupe de hackers iranien parrainé par l’État, MuddyWater, a mené des attaques contre plus de 100 entités gouvernementales en déployant la version 4 du backdoor Phoenix. ⚠️ Acteur et portée: Le groupe MuddyWater (étatique, Iran) a ciblé plus de 100 entités gouvernementales. L’information met l’accent sur l’ampleur de la campagne et l’identité de l’acteur. 🧰 Outil malveillant: Les attaques ont impliqué le déploiement de Phoenix v4, une porte dérobée (backdoor) utilisée pour maintenir un accès persistant et contrôler à distance les systèmes compromis. ...

Selon Group-IB Threat Intelligence, une campagne d’espionnage attribuée avec haute confiance à l’APT iranien MuddyWater a ciblé plus de 100 entités gouvernementales et des organisations internationales, principalement au Moyen-Orient et en Afrique du Nord, en août 2025. 🚨 Vecteur et kill chain. Les attaquants ont utilisé un compte email compromis (accédé via NordVPN) pour envoyer de faux courriels avec pièces jointes Microsoft Word incitant à « activer le contenu ». L’activation des macros exécute un VBA dropper qui écrit un loader « FakeUpdate » sur disque. Ce loader déchiffre et injecte le backdoor Phoenix v4 (nom de fichier sysProcUpdate) qui s’enregistre au C2 screenai[.]online, beaconne en continu et reçoit des commandes via WinHTTP. ...