MuddyWater
MuddyWater es un grupo de ciberespionaje iraní financiado por el Estado y vinculado al Ministerio de Inteligencia y Seguridad (MOIS), que recopila información a nivel mundial mediantephishing, el aprovechamiento de vulnerabilidades y una infraestructura de mando y control personalizada cada vez más sofisticada.
El origen de MuddyWater
MuddyWater, también conocido como STATIC KITTEN, Earth Vetala, Seedworm, TA450, MERCURY y Mango Sandstorm, es un grupo de ciberespionaje que, según las evaluaciones, opera bajo las órdenes del Ministerio de Inteligencia y Seguridad de Irán (MOIS). Activo desde al menos 2017, el grupo lleva a cabo operaciones de recopilación de información contra organizaciones gubernamentales, académicas, de defensa, de telecomunicaciones y del sector energético en todo el mundo.
Una investigación reciente realizada en 2026 reveló una infraestructura operativa perteneciente a MuddyWater alojada en un servidor VPS con sede en los Países Bajos, que dejó al descubierto numerosos elementos operativos, entre los que se incluyen marcos de mando y control (C2), scripts, datos de las víctimas y registros operativos. El análisis de esta infraestructura confirmó que MuddyWater utiliza múltiples marcos C2 desarrollados internamente y aprovecha un amplio ecosistema de herramientas de código abierto para llevar a cabo operaciones de reconocimiento, explotación y exfiltración de datos.
El grupo muestra un enfoque operativo híbrido: combina malware desarrollados a medida, código de explotación de dominio público y herramientas administrativas legítimas para mantener el acceso y eludir la detección. Las campañas recientes también ponen de manifiesto la experimentación con mecanismos de comando y control basados en blockchain, lo que destaca la evolución de las capacidades técnicas de MuddyWater.
Países destinatarios
Las campañas de MuddyWater abarcan múltiples regiones, entre ellas Oriente Medio, Europa, América del Norte y Asia Central. Sus actividades recientes se han centrado en organizaciones de Israel, Jordania, Egipto, los Emiratos Árabes Unidos, Portugal y Estados Unidos, además de operaciones anteriores contra entidades de Turquía, Irak, Pakistán, Arabia Saudí, Alemania, India, Afganistán y Armenia.
Industrias destinatarias
MuddyWater tiene como objetivo organizaciones de numerosos sectores, entre los que se incluyen el gobierno, las telecomunicaciones, la defensa, las instituciones académicas, la aviación, la sanidad, la energía, los servicios financieros, las ONG y las empresas tecnológicas. El grupo también se centra en infraestructuras críticas y en organizaciones relacionadas con la inmigración, los servicios de inteligencia y los sistemas de identificación, lo que indica un marcado interés por la recopilación de información.
Víctimas conocidas
En operaciones recientes se han identificado objetivos como:
- Organizaciones sanitarias israelíes, proveedores de alojamiento y servicios relacionados con la inmigración
- Infraestructura de correo electrónico del Gobierno jordano
- Empresas de ingeniería y energía de los Emiratos Árabes Unidos
- Organizaciones de aviación egipcias, entre ellas EgyptAir
- ONG vinculadas a las comunidades israelíes y judías
- Un sistema de inmigración vinculado al Gobierno portugués
La selección de objetivos se ajusta estrechamente a las prioridades de los servicios de inteligencia iraníes, incluidos los intereses geopolíticos, diplomáticos y estratégicos regionales.
Método de ataque de MuddyWater
MuddyWater consigue acceder al sistema mediante phishing , el aprovechamiento de aplicaciones de acceso público, el «password spraying» y la explotación de vulnerabilidades. Las campañas recientes han aprovechado vulnerabilidades en Fortinet, Ivanti, Citrix, BeyondTrust y SolarWinds N-Central, así como vulnerabilidades de inyección SQL en aplicaciones web.
El grupo suele ampliar sus privilegios mediante técnicas como eludir el control de acceso de usuario (UAC), aprovechar vulnerabilidades en dispositivos periféricos y crear cuentas administrativas, incluida la creación de cuentas de administrador persistentes en FortiGate durante la explotación.
Las técnicas de evasión de los sistemas de defensa incluyen la ofuscación de código, las cargas útiles cifradas, la esteganografía y el camuflaje como servicios legítimos. MuddyWater también oculta su infraestructura C2 tras sitios web comprometidos, redes de proxy e infraestructuras descentralizadas, como la resolución C2 basada en blockchain.
El robo de credenciales se lleva a cabo mediante herramientas como Mimikatz, LaZagne y Browser64, así como mediante ataques de «password spraying» dirigidos a Outlook Web Access y a los servicios SMTP.
Malware por MuddyWater recopila información del sistema, la pertenencia a dominios, los procesos en ejecución, la presencia de software de seguridad y la configuración de red para trazar un mapa del entorno de la víctima.
El grupo suele utilizar herramientas de supervisión y gestión remotas (RMM), como ScreenConnect, Atera Agent, SimpleHelp y Remote Utilities, para desplazarse lateralmente por los entornos comprometidos.
Se recopila información confidencial de los sistemas comprometidos, como documentos, bases de datos de credenciales, capturas de pantalla y archivos almacenados localmente. En campañas recientes, los datos incluían escaneos de pasaportes, registros de visados, documentos financieros y configuraciones de sistemas biométricos.
La ejecución de la carga útil suele realizarse mediante scripts de PowerShell, el intérprete de comandos de Windows, JavaScript, Python y Visual Basic, que a menudo se ejecutan a través de utilidades legítimas del sistema , como mshta, rundll32 o CMSTP.
La filtración de datos se produce a través de varios mecanismos, entre los que se incluyen:
- Canales C2 personalizados
- Plataformas Cloud como Wasabi S3 y put.io
- Servidores de Amazon EC2
- Servidores de archivos HTTP ligeros
- Canales de comando y control que utilizan HTTP, DNS y WebSockets
Las operaciones de MuddyWater se centran principalmente en la recopilación encubierta de información, y los datos sustraídos incluyen comunicaciones gubernamentales, documentos de identidad personales, registros de organizaciones y comunicaciones internas.
MuddyWater consigue acceder al sistema mediante phishing , el aprovechamiento de aplicaciones de acceso público, el «password spraying» y la explotación de vulnerabilidades. Las campañas recientes han aprovechado vulnerabilidades en Fortinet, Ivanti, Citrix, BeyondTrust y SolarWinds N-Central, así como vulnerabilidades de inyección SQL en aplicaciones web.
El grupo suele ampliar sus privilegios mediante técnicas como eludir el control de acceso de usuario (UAC), aprovechar vulnerabilidades en dispositivos periféricos y crear cuentas administrativas, incluida la creación de cuentas de administrador persistentes en FortiGate durante la explotación.
Las técnicas de evasión de los sistemas de defensa incluyen la ofuscación de código, las cargas útiles cifradas, la esteganografía y el camuflaje como servicios legítimos. MuddyWater también oculta su infraestructura C2 tras sitios web comprometidos, redes de proxy e infraestructuras descentralizadas, como la resolución C2 basada en blockchain.
El robo de credenciales se lleva a cabo mediante herramientas como Mimikatz, LaZagne y Browser64, así como mediante ataques de «password spraying» dirigidos a Outlook Web Access y a los servicios SMTP.
Malware por MuddyWater recopila información del sistema, la pertenencia a dominios, los procesos en ejecución, la presencia de software de seguridad y la configuración de red para trazar un mapa del entorno de la víctima.
El grupo suele utilizar herramientas de supervisión y gestión remotas (RMM), como ScreenConnect, Atera Agent, SimpleHelp y Remote Utilities, para desplazarse lateralmente por los entornos comprometidos.
Se recopila información confidencial de los sistemas comprometidos, como documentos, bases de datos de credenciales, capturas de pantalla y archivos almacenados localmente. En campañas recientes, los datos incluían escaneos de pasaportes, registros de visados, documentos financieros y configuraciones de sistemas biométricos.
La ejecución de la carga útil suele realizarse mediante scripts de PowerShell, el intérprete de comandos de Windows, JavaScript, Python y Visual Basic, que a menudo se ejecutan a través de utilidades legítimas del sistema , como mshta, rundll32 o CMSTP.
La filtración de datos se produce a través de varios mecanismos, entre los que se incluyen:
- Canales C2 personalizados
- Plataformas Cloud como Wasabi S3 y put.io
- Servidores de Amazon EC2
- Servidores de archivos HTTP ligeros
- Canales de comando y control que utilizan HTTP, DNS y WebSockets
Las operaciones de MuddyWater se centran principalmente en la recopilación encubierta de información, y los datos sustraídos incluyen comunicaciones gubernamentales, documentos de identidad personales, registros de organizaciones y comunicaciones internas.
TTPs utilizados por MuddyWater
Cómo detectar MuddyWater con Vectra AI
Lista de las detecciones disponibles en la plataforma Vectra AI que indicarían un ataque APT.
Preguntas frecuentes
¿Quién está detrás de MuddyWater?
MuddyWater se atribuye al Ministerio de Inteligencia y Seguridad de Irán (MOIS).
¿Cuáles son los principales vectores de ataque de MuddyWater?
Utilizan correos electrónicos de phishing con archivos adjuntos y enlaces maliciosos y la explotación de vulnerabilidades de cara al público.
¿Cómo evade MuddyWater las defensas?
Emplean varios métodos de ofuscación, herramientas legítimas, esteganografía y carga lateral de DLL.
¿Qué herramientas de malware están asociadas a MuddyWater?
POWERSTATS, NTSTATS, CloudSTATS, PowGoop, Blackwater, ForeLord, MoriAgent y otros.
¿A qué sectores se dirige MuddyWater?
Telecomunicaciones, defensa, mundo académico, petróleo y gas, sanidad, tecnología, ONG y entidades gubernamentales.
¿Qué herramientas pueden detectar las actividades de MuddyWater?
Las organizaciones deben aprovechar las soluciones avanzadas de detección y respuesta de red (NDR) como Vectra AI.
¿Qué pueden hacer las organizaciones para defenderse de los ataques de MuddyWater?
Las organizaciones deben aplicar los parches de seguridad con prontitud, educar a los usuarios sobre el phishing , aplicar la autenticación multifactor y supervisar de cerca el tráfico de red y la actividad de los usuarios.
¿MuddyWater aprovecha las vulnerabilidades?
Sí, aprovechan vulnerabilidades como CVE-2020-0688 (Microsoft Exchange), CVE-2017-0199 (Office) y CVE-2020-1472 (Netlogon).
¿Tiene MuddyWater alcance mundial?
Sí, aunque opera principalmente en Oriente Medio y Asia, MuddyWater se dirige a entidades de todo el mundo, incluidas Norteamérica y Europa.
¿Cómo puede una organización detectar el movimiento lateral de MuddyWater?
Las organizaciones pueden detectar eficazmente el movimiento lateral asociado a MuddyWater utilizando soluciones avanzadas de detección y respuesta de redes (NDR) como Vectra AI. Vectra AI aprovecha la inteligencia artificial y los algoritmos de aprendizaje automático para supervisar continuamente el tráfico de red, identificando rápidamente comportamientos anómalos como el uso no autorizado de herramientas de acceso remoto, conexiones internas sospechosas y patrones inesperados de uso de credenciales. Al proporcionar visibilidad en tiempo real y alertas de amenazas priorizadas, Vectra AI permite a los equipos de seguridad identificar y contener rápidamente las amenazas planteadas por MuddyWater antes de que se produzcan daños significativos.