MuddyWater déploie Phoenix v4 via macros Word pour espionner plus de 100 entités gouvernementales
Selon Group-IB Threat Intelligence, une campagne d’espionnage attribuée avec haute confiance à l’APT iranien MuddyWater a ciblé plus de 100 entités gouvernementales et des organisations internationales, principalement au Moyen-Orient et en Afrique du Nord, en août 2025. 🚨 Vecteur et kill chain. Les attaquants ont utilisé un compte email compromis (accédé via NordVPN) pour envoyer de faux courriels avec pièces jointes Microsoft Word incitant à « activer le contenu ». L’activation des macros exécute un VBA dropper qui écrit un loader « FakeUpdate » sur disque. Ce loader déchiffre et injecte le backdoor Phoenix v4 (nom de fichier sysProcUpdate) qui s’enregistre au C2 screenai[.]online, beaconne en continu et reçoit des commandes via WinHTTP. ...