RECIÉN PUBLICADO

De Clawdbot a OpenClaw: la automatización como puerta trasera digital. Leer el blog →

Plataforma

La plataforma NDR que protege las redes modernas de los ataques modernos.

Protección preventiva

Detección y respuesta proactivas

Dote a sus analistas de seguridad de información para detener los ataques con rapidez. Attack Signal Intelligence analiza en tiempo real para mostrarle dónde está en peligro ahora mismo.

Modernización del SOC

Ciberresiliencia

Gestión de riesgos

Vea cómo los atacantes modernos aprovechan las brechas en sus defensas y qué puede hacer para detenerlos.

Detener el avance del atacante

Contención reforzada en identidades, dispositivos y tráfico de red con 360 Response.

Más información

Panel de control de ciberseguridad de Vectra AI una investigación de detección con detalles del perfil del ataque, factores de puntuación y un gráfico de red de actividades sospechosas.

Compare la Vectra AI con otras herramientas

Las herramientas de EDR, SIEM, SASE, SSE y cloud nativa cloud dejan huecos que los atacantes modernos aprovechan. La Vectra AI los cierra.

Más información

Clientes

Centro de asistencia

Servicios profesionales

Vectra AI AI es nombrada líder en el Cuadrante Mágico™ de Gartner® de 2025 para NDR

La NDR ya no es opcional: es imprescindible para detectar los ataques modernos. Descubra por qué Gartner ha reconocido a Vectra AI como líder tanto en visión como en capacidad de ejecución.

Descargar

Acceso de clientes

Investigación

Conocimientos expertos de nuestros científicos de datos, investigadores de seguridad e ingenieros para apoyar su aprendizaje.

Información de expertos sobre amenazas y defensas emergentes

Obtenga información sobre IA para una detección de amenazas más inteligente

Boletines de amenazas y sesiones informativas para una defensa proactiva

Únase a nuestros investigadores de seguridad, científicos de datos y analistas para compartir más de 11 años de investigación y experiencia en seguridad e inteligencia artificial con la comunidad mundial de ciberseguridad.

Recursos

Noticias de última hora y opiniones de expertos.

Blue Team Workshops, seminarios web a la carta y eventos mundiales cerca de usted.

Informes de investigación, anatomías de ataque, libros blancos, guías, fichas técnicas e historias de clientes.

Explicaciones detalladas de los problemas de ciberseguridad más críticos de la actualidad, técnicas de ataque y estrategias de mitigación.

Vídeos de demostración y visitas

Vea la plataforma Vectra AI en acción.

Vea cómo la señal integrada de Vectra AI le permite ver y detener ataques sofisticados que otras tecnologías pasan por alto.

Visita interactiva

Empresa

Descubra por qué somos líderes mundiales en seguridad de IA

Solicite una entrevista con un experto en seguridad de Vectra AI

Guías de implantación, base de conocimientos, notas de la versión y anuncios de seguridad

Conocimiento experto de investigadores de seguridad, científicos de datos e ingenieros

Noticias de última hora de Vectra AI

Materiales de prensa, biografías de los líderes, logotipos e imágenes de productos para uso de los medios de comunicación.

Únete al equipo que está detrás de la primera plataforma de ciberseguridad basada en IA del mundo

Hands typing on a laptop keyboard with digital icons including a clock, globe, chat bubble, skull, email, and phone floating above.

Más allá de la perfección de la configuración: Redefinición de la "seguridadCloud

No basta con corregir los errores de configuración. Centrarse demasiado en la perfección puede crear puntos ciegos. Descubra un enfoque más inteligente y holístico de la seguridad cloud .

Seguir leyendo

MuddyWater

MuddyWater is an Iranian state-sponsored cyber espionage group linked to the Ministry of Intelligence and Security (MOIS) that conducts global intelligence collection through spear-phishing, vulnerability exploitation, and increasingly sophisticated custom command-and-control infrastructure.

Detectar los TTPs de MuddyWater

¿Está su organización a salvo de los ataques de MuddyWater?

Antecedentes y objetivos

El origen de MuddyWater

MuddyWater, also tracked as STATIC KITTEN, Earth Vetala, Seedworm, TA450, MERCURY, and Mango Sandstorm, is a cyber espionage group assessed to operate under Iran’s Ministry of Intelligence and Security (MOIS). Active since at least 2017, the group conducts intelligence collection operations against government, academic, defense, telecommunications, and energy organizations worldwide.

Recent research in 2026 revealed operational infrastructure belonging to MuddyWater hosted on a Netherlands-based VPS, which exposed extensive operational artifacts including command-and-control (C2) frameworks, scripts, victim data, and operational logs. Analysis of this infrastructure confirmed that MuddyWater operates multiple internally developed C2 frameworks and leverages a wide ecosystem of open-source tools to support reconnaissance, exploitation, and data exfiltration operations.

The group demonstrates a hybrid operational approach: combining custom-developed malware frameworks, public exploit code, and legitimate administrative tools to maintain access and evade detection. Recent campaigns also demonstrate experimentation with blockchain-based command-and-control mechanisms, highlighting MuddyWater’s evolving technical capabilities.

Países destinatarios

MuddyWater campaigns span multiple regions including the Middle East, Europe, North America, and Central Asia. Recent activity has targeted organizations in Israel, Jordan, Egypt, the United Arab Emirates, Portugal, and the United States, alongside historical operations against entities in Turkey, Iraq, Pakistan, Saudi Arabia, Germany, India, Afghanistan, and Armenia.

Industrias destinatarias

MuddyWater targets organizations across numerous sectors including government, telecommunications, defense, academic institutions, aviation, healthcare, energy, financial services, NGOs, and technology companies. The group also targets critical infrastructure and organizations involved in immigration, intelligence, and identity systems, indicating a strong focus on intelligence collection.

Energy and Utilities

Financial Services and Banking

Pharmaceuticals and Medical Devices

Real Estate

Federal

Healthcare

Víctimas conocidas

Recent operations identified targets including:

Israeli healthcare organizations, hosting providers, and immigration-related services
Jordanian government webmail infrastructure
UAE engineering and energy companies
Egyptian aviation organizations, including EgyptAir
NGOs connected to Israeli and Jewish communities
A Portuguese government-related immigration system

The targeting aligns closely with Iranian intelligence priorities, including geopolitical, diplomatic, and regional strategic interests.

Método de ataque

Método de ataque de MuddyWater

Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.

MuddyWater gains access through spear-phishing emails, exploitation of public-facing applications, password spraying, and vulnerability exploitation. Recent campaigns leveraged vulnerabilities in Fortinet, Ivanti, Citrix, BeyondTrust, and SolarWinds N-Central, as well as SQL injection vulnerabilities in web applications.

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.

The group frequently escalates privileges through techniques such as UAC bypass, exploitation of edge device vulnerabilities, and administrative account creation, including the creation of persistent FortiGate administrator accounts during exploitation.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.

Defense evasion includes code obfuscation, encrypted payloads, steganography, and masquerading as legitimate services. MuddyWater also hides C2 infrastructure behind compromised websites, proxy networks, and decentralized infrastructure such as blockchain-based C2 resolution.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.

Credential theft is performed using tools such as Mimikatz, LaZagne, Browser64, and password spraying attacks targeting Outlook Web Access and SMTP services.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.

Malware deployed by MuddyWater gathers system information, domain membership, running processes, security software presence, and network configuration to map the victim environment.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.

The group commonly leverages remote monitoring and management (RMM) tools such as ScreenConnect, Atera Agent, SimpleHelp, and Remote Utilities to move laterally across compromised environments.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.

Sensitive information is collected from compromised systems including documents, credential databases, screenshots, and locally stored files. In recent campaigns, data included passport scans, visa records, financial documents, and biometric system configurations.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.

Payload execution is typically performed using PowerShell, Windows Command Shell, JavaScript, Python, and Visual Basic scripts, often executed via legitimate system utilities such as mshta, rundll32, or CMSTP.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.

Data exfiltration occurs through several mechanisms including:

Custom C2 channels
Cloud storage platforms such as Wasabi S3 and put.io
Amazon EC2 servers
Lightweight HTTP file servers
Command-and-control channels using HTTP, DNS, and WebSockets

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.

MuddyWater operations are primarily focused on covert intelligence gathering, with stolen data including government communications, personal identity documents, organizational records, and internal communications.

Acceso inicial

Escalada de privilegios

Defensa Evasión

Acceso con credenciales

Credential theft is performed using tools such as Mimikatz, LaZagne, Browser64, and password spraying attacks targeting Outlook Web Access and SMTP services.

Descubrimiento

Malware deployed by MuddyWater gathers system information, domain membership, running processes, security software presence, and network configuration to map the victim environment.

Movimiento lateral

Colección

Ejecución

Exfiltración

Data exfiltration occurs through several mechanisms including:

Custom C2 channels
Cloud storage platforms such as Wasabi S3 and put.io
Amazon EC2 servers
Lightweight HTTP file servers
Command-and-control channels using HTTP, DNS, and WebSockets

Impacto

MITRE ATT&CK Cartografía

TTPs utilizados por MuddyWater

TA0001: Initial Access

T1566

Phishing

T1190

Exploit Public-Facing Application

TA0002: Execution

T1203

Exploitation for Client Execution

T1059

Command and Scripting Interpreter

TA0003: Persistence

T1574

Hijack Execution Flow

T1053

Scheduled Task/Job

TA0004: Privilege Escalation

T1548

Abuse Elevation Control Mechanism

T1574

Hijack Execution Flow

T1053

Scheduled Task/Job

TA0005: Defense Evasion

T1548

Abuse Elevation Control Mechanism

T1036

Masquerading

T1027

Obfuscated Files or Information

T1574

Hijack Execution Flow

TA0006: Credential Access

T1555

Credentials from Password Stores

T1003

OS Credential Dumping

TA0007: Discovery

T1087

Account Discovery

TA0008: Lateral Movement

T1210

Exploitation of Remote Services

TA0009: Collection

T1113

Screen Capture

TA0011: Command and Control

T1071

Application Layer Protocol

TA0010: Exfiltration

No items found.

TA0040: Impact

No items found.

Detección de plataformas

Cómo detectar MuddyWater con Vectra AI

Lista de las detecciones disponibles en la plataforma Vectra AI que indicarían un ataque APT.

‍

External Remote Access

Hidden DNS Tunnel

Suspicious Remote Execution

Ver más detecciones

Evalúe su exposición a los ataques

Preguntas frecuentes

¿Quién está detrás de MuddyWater?

MuddyWater se atribuye al Ministerio de Inteligencia y Seguridad de Irán (MOIS).

¿Cuáles son los principales vectores de ataque de MuddyWater?

Utilizan correos electrónicos de phishing con archivos adjuntos y enlaces maliciosos y la explotación de vulnerabilidades de cara al público.

¿Cómo evade MuddyWater las defensas?

Emplean varios métodos de ofuscación, herramientas legítimas, esteganografía y carga lateral de DLL.

¿Qué herramientas de malware están asociadas a MuddyWater?

POWERSTATS, NTSTATS, CloudSTATS, PowGoop, Blackwater, ForeLord, MoriAgent y otros.

‍

¿A qué sectores se dirige MuddyWater?

Telecomunicaciones, defensa, mundo académico, petróleo y gas, sanidad, tecnología, ONG y entidades gubernamentales.

¿Qué herramientas pueden detectar las actividades de MuddyWater?

Las organizaciones deben aprovechar las soluciones avanzadas de detección y respuesta de red (NDR) como Vectra AI.

¿Qué pueden hacer las organizaciones para defenderse de los ataques de MuddyWater?

Las organizaciones deben aplicar los parches de seguridad con prontitud, educar a los usuarios sobre el phishing , aplicar la autenticación multifactor y supervisar de cerca el tráfico de red y la actividad de los usuarios.

‍

¿MuddyWater aprovecha las vulnerabilidades?

Sí, aprovechan vulnerabilidades como CVE-2020-0688 (Microsoft Exchange), CVE-2017-0199 (Office) y CVE-2020-1472 (Netlogon).

¿Tiene MuddyWater alcance mundial?

Sí, aunque opera principalmente en Oriente Medio y Asia, MuddyWater se dirige a entidades de todo el mundo, incluidas Norteamérica y Europa.

¿Cómo puede una organización detectar el movimiento lateral de MuddyWater?

Las organizaciones pueden detectar eficazmente el movimiento lateral asociado a MuddyWater utilizando soluciones avanzadas de detección y respuesta de redes (NDR) como Vectra AI. Vectra AI aprovecha la inteligencia artificial y los algoritmos de aprendizaje automático para supervisar continuamente el tráfico de red, identificando rápidamente comportamientos anómalos como el uso no autorizado de herramientas de acceso remoto, conexiones internas sospechosas y patrones inesperados de uso de credenciales. Al proporcionar visibilidad en tiempo real y alertas de amenazas priorizadas, Vectra AI permite a los equipos de seguridad identificar y contener rápidamente las amenazas planteadas por MuddyWater antes de que se produzcan daños significativos.

MuddyWater

El origen de MuddyWater

Países destinatarios

Industrias destinatarias

Energy and Utilities

Financial Services and Banking

Pharmaceuticals and Medical Devices

Real Estate

Federal

Healthcare

Víctimas conocidas

Método de ataque de MuddyWater

TTPs utilizados por MuddyWater

Cómo detectar MuddyWater con Vectra AI

External Remote Access

Hidden DNS Tunnel

Suspicious Remote Execution

¿Está su organización a salvo de los ataques de MuddyWater?

Preguntas frecuentes

¿Quién está detrás de MuddyWater?

¿Cuáles son los principales vectores de ataque de MuddyWater?

¿Cómo evade MuddyWater las defensas?

¿Qué herramientas de malware están asociadas a MuddyWater?

¿A qué sectores se dirige MuddyWater?

¿Qué herramientas pueden detectar las actividades de MuddyWater?

¿Qué pueden hacer las organizaciones para defenderse de los ataques de MuddyWater?

¿MuddyWater aprovecha las vulnerabilidades?

¿Tiene MuddyWater alcance mundial?

¿Cómo puede una organización detectar el movimiento lateral de MuddyWater?