MuddyWater
MuddyWater es un grupo de ciberespionaje vinculado a Irán activo desde al menos 2017, conocido por dirigirse a los sectores gubernamentales, de telecomunicaciones, defensa y energía mundiales a través de sofisticadas técnicas de phishing y explotación.
El origen de MuddyWater
MuddyWater, también conocido como STATIC KITTEN, Earth Vetala, MERCURY, Seedworm, Mango Sandstorm y TEMP.Zagros, es un grupo de amenazas persistentes avanzadas (APT) identificado como parte del Ministerio de Inteligencia y Seguridad (MOIS) de Irán. Activo desde al menos 2017, MuddyWater se especializa en operaciones de ciberespionaje, utilizando una variedad de técnicas sofisticadas y malware personalizado para sus campañas. El grupo es notablemente adaptable, evolucionando constantemente las tácticas y el malware para evadir la detección y las defensas.
Países destinatarios
Las víctimas de MuddyWater se extienden por todo el mundo, especialmente en Oriente Próximo, Eurasia y Asia Central, con Turquía, Tayikistán, Países Bajos, Azerbaiyán, Armenia, Pakistán, Irak, Omán, Arabia Saudí, Emiratos Árabes Unidos, Siria, Afganistán, India, Jordania, Israel, Palestina, Turkmenistán, Georgia, Malta, Alemania y Estados Unidos como principales objetivos. Tal diversidad geográfica demuestra sus amplias campañas de espionaje internacional.
Industrias destinatarias
MuddyWater ha llevado a cabo operaciones contra diversos sectores, como entidades gubernamentales, organizaciones militares, telecomunicaciones, instituciones académicas, petróleo y gas, aviación, sanidad, ONG, tecnología, servicios financieros, hostelería, agricultura, energía, productos farmacéuticos, sector inmobiliario, aeroespacial y gobiernos locales. La amplitud de los objetivos indica un interés estratégico en sectores críticos para las infraestructuras nacionales y el control de la información.
Víctimas conocidas
Entre los ataques específicos conocidos se incluyen campañas recientes (2025) contra múltiples instituciones académicas israelíes, lo que refleja un interés sostenido en la dinámica política de Oriente Medio. Además, organizaciones gubernamentales, de defensa, de telecomunicaciones y energéticas de varios países han sido blanco de repetidos ataques a lo largo de la historia operativa del grupo.
Método de ataque de MuddyWater
Principalmente a través de correos electrónicos dirigidos de phishing (adjuntos o enlaces maliciosos), cuentas de terceros comprometidas o explotación de vulnerabilidades conocidas en productos de Microsoft Exchange y Office.
MuddyWater abusa de los mecanismos de control de cuentas de usuario (UAC) y utiliza técnicas de carga lateral de DLL para obtener acceso elevado.
Implementa métodos de ofuscación como la codificación Base64, la esteganografía y el uso de herramientas legítimas (LOLBins) como CMSTP, Mshta y Rundll32.
Emplea herramientas de volcado de credenciales como Mimikatz, LaZagne y Browser64 para extraer credenciales de la memoria LSASS, navegadores web, clientes de correo electrónico y credenciales de dominio almacenadas en caché.
Utiliza scripts y malware personalizados para la enumeración de cuentas, la exploración de archivos y directorios y el descubrimiento de software, incluidos los productos de seguridad.
Utiliza soluciones de acceso remoto legítimas como Remote Utilities, SimpleHelp, Atera Agent y ScreenConnect para moverse lateralmente dentro de redes comprometidas.
La captura de pantallas y el archivado escalonado de datos mediante utilidades nativas (makecab.exe) son prácticas habituales.
Despliega cargas útiles ejecutadas a través de PowerShell, Windows Command Shell, VBScript, Python, JavaScript y aprovechando herramientas de acceso remoto.
Exfiltra datos a través de canales de mando y control (C2) mediante comunicaciones cifradas y ofuscadas a través de protocolos HTTP/DNS.
El objetivo principal incluye el ciberespionaje que tiene como resultado el robo de información sensible, estratégica y clasificada, más que los ataques disruptivos.
Principalmente a través de correos electrónicos dirigidos de phishing (adjuntos o enlaces maliciosos), cuentas de terceros comprometidas o explotación de vulnerabilidades conocidas en productos de Microsoft Exchange y Office.
MuddyWater abusa de los mecanismos de control de cuentas de usuario (UAC) y utiliza técnicas de carga lateral de DLL para obtener acceso elevado.
Implementa métodos de ofuscación como la codificación Base64, la esteganografía y el uso de herramientas legítimas (LOLBins) como CMSTP, Mshta y Rundll32.
Emplea herramientas de volcado de credenciales como Mimikatz, LaZagne y Browser64 para extraer credenciales de la memoria LSASS, navegadores web, clientes de correo electrónico y credenciales de dominio almacenadas en caché.
Utiliza scripts y malware personalizados para la enumeración de cuentas, la exploración de archivos y directorios y el descubrimiento de software, incluidos los productos de seguridad.
Utiliza soluciones de acceso remoto legítimas como Remote Utilities, SimpleHelp, Atera Agent y ScreenConnect para moverse lateralmente dentro de redes comprometidas.
La captura de pantallas y el archivado escalonado de datos mediante utilidades nativas (makecab.exe) son prácticas habituales.
Despliega cargas útiles ejecutadas a través de PowerShell, Windows Command Shell, VBScript, Python, JavaScript y aprovechando herramientas de acceso remoto.
Exfiltra datos a través de canales de mando y control (C2) mediante comunicaciones cifradas y ofuscadas a través de protocolos HTTP/DNS.
El objetivo principal incluye el ciberespionaje que tiene como resultado el robo de información sensible, estratégica y clasificada, más que los ataques disruptivos.
TTPs utilizados por MuddyWater
Cómo detectar MuddyWater con Vectra AI
Lista de las detecciones disponibles en la plataforma Vectra AI que indicarían un ataque APT.
Preguntas frecuentes
¿Quién está detrás de MuddyWater?
MuddyWater se atribuye al Ministerio de Inteligencia y Seguridad de Irán (MOIS).
¿Cuáles son los principales vectores de ataque de MuddyWater?
Utilizan correos electrónicos de phishing con archivos adjuntos y enlaces maliciosos y la explotación de vulnerabilidades de cara al público.
¿Cómo evade MuddyWater las defensas?
Emplean varios métodos de ofuscación, herramientas legítimas, esteganografía y carga lateral de DLL.
¿Qué herramientas de malware están asociadas a MuddyWater?
POWERSTATS, NTSTATS, CloudSTATS, PowGoop, Blackwater, ForeLord, MoriAgent y otros.
¿A qué sectores se dirige MuddyWater?
Telecomunicaciones, defensa, mundo académico, petróleo y gas, sanidad, tecnología, ONG y entidades gubernamentales.
¿Qué herramientas pueden detectar las actividades de MuddyWater?
Las organizaciones deben aprovechar las soluciones avanzadas de detección y respuesta de red (NDR) como Vectra AI.
¿Qué pueden hacer las organizaciones para defenderse de los ataques de MuddyWater?
Las organizaciones deben aplicar los parches de seguridad con prontitud, educar a los usuarios sobre el phishing , aplicar la autenticación multifactor y supervisar de cerca el tráfico de red y la actividad de los usuarios.
¿MuddyWater aprovecha las vulnerabilidades?
Sí, aprovechan vulnerabilidades como CVE-2020-0688 (Microsoft Exchange), CVE-2017-0199 (Office) y CVE-2020-1472 (Netlogon).
¿Tiene MuddyWater alcance mundial?
Sí, aunque opera principalmente en Oriente Medio y Asia, MuddyWater se dirige a entidades de todo el mundo, incluidas Norteamérica y Europa.
¿Cómo puede una organización detectar el movimiento lateral de MuddyWater?
Las organizaciones pueden detectar eficazmente el movimiento lateral asociado a MuddyWater utilizando soluciones avanzadas de detección y respuesta de redes (NDR) como Vectra AI. Vectra AI aprovecha la inteligencia artificial y los algoritmos de aprendizaje automático para supervisar continuamente el tráfico de red, identificando rápidamente comportamientos anómalos como el uso no autorizado de herramientas de acceso remoto, conexiones internas sospechosas y patrones inesperados de uso de credenciales. Al proporcionar visibilidad en tiempo real y alertas de amenazas priorizadas, Vectra AI permite a los equipos de seguridad identificar y contener rápidamente las amenazas planteadas por MuddyWater antes de que se produzcan daños significativos.