MuddyWater

Selon Group-IB, MuddyWater (APT iranien soutenu par l’État) est passé d’opérations opportunistes via outils RMM (remote monitoring and management) à des campagnes ciblées et sophistiquées contre des entités au Moyen-Orient, en Europe et aux États-Unis, dont des infrastructures critiques, gouvernements et télécoms. L’accès initial reste largement mené via du phishing et des documents Office malveillants. 🕵️‍♂️ Le groupe opère plusieurs backdoors personnalisées avec des protocoles C2 distincts : BugSleep (pseudo-TLV custom sur TCP avec chiffrement AES), StealthCache (HTTP/HTTPS avec des endpoints dédiés), et Phoenix (HTTP avec endpoints d’enregistrement et de beaconing). Le loader Fooder s’appuie sur Windows CryptAPI pour déchiffrer les charges, met en œuvre du DLL side-loading et du multi-threading pour l’évasion. 🧩 ...

Selon Hunt.io (billet du 20 août 2025, avec recoupements Trellix), une campagne sophistiquée attribuée à APT MuddyWater cible des directeurs financiers sur plusieurs continents via des leurres hébergés sur Firebase/Web.app, des scripts VBS et l’abus d’outils légitimes pour maintenir un accès persistant. • Panorama de l’attaque 🎯: Des e‑mails d’hameçonnage ciblé se faisant passer pour un recruteur de Rothschild & Co mènent vers des pages Firebase avec CAPTCHA/maths et redirections AES chiffrées. La chaîne d’infection déploie des scripts VBS, livre des charges additionnelles depuis une infrastructure contrôlée et installe NetBird et OpenSSH afin d’établir une persistance et un contrôle à distance. Les opérateurs abusent également d’outils légitimes comme AteraAgent.exe. Des recoupements d’IoC, d’infrastructure et de TTPs alignent cette activité avec APT MuddyWater. ...

Selon Fortinet (FortiMail Workspace Security), une campagne ciblée vise des organisations israéliennes en abusant d’infrastructures email compromises pour diffuser des leurres menant à une fausse page Microsoft Teams. L’objectif est d’amener l’utilisateur à déclencher des commandes PowerShell (« ClickFix ») qui installent un RAT entièrement basé sur PowerShell. 🚨 Nature de l’attaque: des emails de phishing redirigent vers une page Microsoft Teams factice. Le mécanisme « ClickFix » incite l’utilisateur à exécuter des commandes PowerShell encodées en Base64, amorçant une chaîne d’infection multi‑étapes. L’attribution potentielle pointe vers les acteurs MuddyWater, sans confirmation définitive. ...

Selon BleepingComputer, l’entreprise de cybersécurité Profero a réussi en 2023 à contourner le chiffrement du ransomware DarkBit lors d’une réponse à incident visant plusieurs serveurs VMware ESXi, permettant de restaurer des fichiers sans payer de rançon. Contexte et attribution présumée: l’attaque, survenue dans la foulée de frappes de drones en Iran en 2023, a été revendiquée par des acteurs se présentant comme pro-iraniens et comprenant des messages anti-Israël, avec une demande de 80 BTC. Le National Cyber Command d’Israël a relié ces actions au groupe APT parrainé par l’État iranien, MuddyWater. Les assaillants n’ont pas réellement négocié et ont surtout cherché la perturbation opérationnelle et l’impact réputationnel, un mode opératoire associé aux opérations d’influence de type étatique. ...

Lookout a découvert de nouvelles variantes du malware de surveillance Android DCHSpy déployé par le groupe APT iranien MuddyWater dans le cadre du conflit Israël-Iran. Ce malware cible les appareils mobiles à travers des applications VPN malveillantes distribuées via Telegram, utilisant potentiellement des leurres thématiques liés à StarLink. DCHSpy collecte des données personnelles étendues, notamment des messages WhatsApp, des contacts, des SMS, des données de localisation, et peut enregistrer de l’audio et capturer des photos. Le groupe de menaces continue de développer ce logiciel de surveillance avec des capacités améliorées pour l’identification de fichiers et l’exfiltration de données, représentant des activités d’espionnage mobile parrainées par l’État iranien. ...

Selon un rapport de Nozomi Networks, les groupes de menaces persistantes avancées (APT) iraniens, notamment MuddyWater et APT33, ont intensifié leurs attaques contre des entités industrielles aux États-Unis durant les mois de mai et juin. Ces groupes sont connus pour cibler des infrastructures critiques et des secteurs industriels, exploitant des vulnérabilités pour accéder à des systèmes sensibles. Les attaques récentes soulignent une escalade dans les cyberactivités malveillantes dirigées par ces acteurs étatiques. ...