MuddyWater

MuddyWater es un grupo de ciberespionaje vinculado a Irán activo desde al menos 2017, conocido por dirigirse a los sectores gubernamentales, de telecomunicaciones, defensa y energía mundiales a través de sofisticadas técnicas de phishing y explotación.

¿Está su organización a salvo de los ataques de MuddyWater?

El origen de MuddyWater

MuddyWater, también conocido como STATIC KITTEN, Earth Vetala, MERCURY, Seedworm, Mango Sandstorm y TEMP.Zagros, es un grupo de amenazas persistentes avanzadas (APT) identificado como parte del Ministerio de Inteligencia y Seguridad (MOIS) de Irán. Activo desde al menos 2017, MuddyWater se especializa en operaciones de ciberespionaje, utilizando una variedad de técnicas sofisticadas y malware personalizado para sus campañas. El grupo es notablemente adaptable, evolucionando constantemente las tácticas y el malware para evadir la detección y las defensas.

Países destinatarios

Las víctimas de MuddyWater se extienden por todo el mundo, especialmente en Oriente Próximo, Eurasia y Asia Central, con Turquía, Tayikistán, Países Bajos, Azerbaiyán, Armenia, Pakistán, Irak, Omán, Arabia Saudí, Emiratos Árabes Unidos, Siria, Afganistán, India, Jordania, Israel, Palestina, Turkmenistán, Georgia, Malta, Alemania y Estados Unidos como principales objetivos. Tal diversidad geográfica demuestra sus amplias campañas de espionaje internacional.

Industrias destinatarias

MuddyWater ha llevado a cabo operaciones contra diversos sectores, como entidades gubernamentales, organizaciones militares, telecomunicaciones, instituciones académicas, petróleo y gas, aviación, sanidad, ONG, tecnología, servicios financieros, hostelería, agricultura, energía, productos farmacéuticos, sector inmobiliario, aeroespacial y gobiernos locales. La amplitud de los objetivos indica un interés estratégico en sectores críticos para las infraestructuras nacionales y el control de la información.

Víctimas conocidas

Entre los ataques específicos conocidos se incluyen campañas recientes (2025) contra múltiples instituciones académicas israelíes, lo que refleja un interés sostenido en la dinámica política de Oriente Medio. Además, organizaciones gubernamentales, de defensa, de telecomunicaciones y energéticas de varios países han sido blanco de repetidos ataques a lo largo de la historia operativa del grupo.

Método de ataque

Método de ataque de MuddyWater

Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.

Principalmente a través de correos electrónicos dirigidos de phishing (adjuntos o enlaces maliciosos), cuentas de terceros comprometidas o explotación de vulnerabilidades conocidas en productos de Microsoft Exchange y Office.

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.

MuddyWater abusa de los mecanismos de control de cuentas de usuario (UAC) y utiliza técnicas de carga lateral de DLL para obtener acceso elevado.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.

Implementa métodos de ofuscación como la codificación Base64, la esteganografía y el uso de herramientas legítimas (LOLBins) como CMSTP, Mshta y Rundll32.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.

Emplea herramientas de volcado de credenciales como Mimikatz, LaZagne y Browser64 para extraer credenciales de la memoria LSASS, navegadores web, clientes de correo electrónico y credenciales de dominio almacenadas en caché.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.

Utiliza scripts y malware personalizados para la enumeración de cuentas, la exploración de archivos y directorios y el descubrimiento de software, incluidos los productos de seguridad.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.

Utiliza soluciones de acceso remoto legítimas como Remote Utilities, SimpleHelp, Atera Agent y ScreenConnect para moverse lateralmente dentro de redes comprometidas.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.

La captura de pantallas y el archivado escalonado de datos mediante utilidades nativas (makecab.exe) son prácticas habituales.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.

Despliega cargas útiles ejecutadas a través de PowerShell, Windows Command Shell, VBScript, Python, JavaScript y aprovechando herramientas de acceso remoto.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.

Exfiltra datos a través de canales de mando y control (C2) mediante comunicaciones cifradas y ofuscadas a través de protocolos HTTP/DNS.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.

El objetivo principal incluye el ciberespionaje que tiene como resultado el robo de información sensible, estratégica y clasificada, más que los ataques disruptivos.

Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.
Acceso inicial

Principalmente a través de correos electrónicos dirigidos de phishing (adjuntos o enlaces maliciosos), cuentas de terceros comprometidas o explotación de vulnerabilidades conocidas en productos de Microsoft Exchange y Office.

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.
Escalada de privilegios

MuddyWater abusa de los mecanismos de control de cuentas de usuario (UAC) y utiliza técnicas de carga lateral de DLL para obtener acceso elevado.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.
Defensa Evasión

Implementa métodos de ofuscación como la codificación Base64, la esteganografía y el uso de herramientas legítimas (LOLBins) como CMSTP, Mshta y Rundll32.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.
Acceso con credenciales

Emplea herramientas de volcado de credenciales como Mimikatz, LaZagne y Browser64 para extraer credenciales de la memoria LSASS, navegadores web, clientes de correo electrónico y credenciales de dominio almacenadas en caché.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.
Descubrimiento

Utiliza scripts y malware personalizados para la enumeración de cuentas, la exploración de archivos y directorios y el descubrimiento de software, incluidos los productos de seguridad.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.
Movimiento lateral

Utiliza soluciones de acceso remoto legítimas como Remote Utilities, SimpleHelp, Atera Agent y ScreenConnect para moverse lateralmente dentro de redes comprometidas.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.
Colección

La captura de pantallas y el archivado escalonado de datos mediante utilidades nativas (makecab.exe) son prácticas habituales.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.
Ejecución

Despliega cargas útiles ejecutadas a través de PowerShell, Windows Command Shell, VBScript, Python, JavaScript y aprovechando herramientas de acceso remoto.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.
Exfiltración

Exfiltra datos a través de canales de mando y control (C2) mediante comunicaciones cifradas y ofuscadas a través de protocolos HTTP/DNS.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.
Impacto

El objetivo principal incluye el ciberespionaje que tiene como resultado el robo de información sensible, estratégica y clasificada, más que los ataques disruptivos.

MITRE ATT&CK Cartografía

TTPs utilizados por MuddyWater

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
TA0002: Execution
T1203
Exploitation for Client Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1574
Hijack Execution Flow
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1548
Abuse Elevation Control Mechanism
T1574
Hijack Execution Flow
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1548
Abuse Elevation Control Mechanism
T1036
Masquerading
T1027
Obfuscated Files or Information
T1574
Hijack Execution Flow
TA0006: Credential Access
T1555
Credentials from Password Stores
T1003
OS Credential Dumping
TA0007: Discovery
T1087
Account Discovery
TA0008: Lateral Movement
T1210
Exploitation of Remote Services
TA0009: Collection
T1113
Screen Capture
TA0011: Command and Control
T1071
Application Layer Protocol
TA0010: Exfiltration
No items found.
TA0040: Impact
No items found.
Detección de plataformas

Cómo detectar MuddyWater con Vectra AI

Lista de las detecciones disponibles en la plataforma Vectra AI que indicarían un ataque APT.

Preguntas frecuentes

¿Quién está detrás de MuddyWater?

¿Cuáles son los principales vectores de ataque de MuddyWater?

¿Cómo evade MuddyWater las defensas?

¿Qué herramientas de malware están asociadas a MuddyWater?

¿A qué sectores se dirige MuddyWater?

¿Qué herramientas pueden detectar las actividades de MuddyWater?

¿Qué pueden hacer las organizaciones para defenderse de los ataques de MuddyWater?

¿MuddyWater aprovecha las vulnerabilidades?

¿Tiene MuddyWater alcance mundial?

¿Cómo puede una organización detectar el movimiento lateral de MuddyWater?