MuddyWater si evolve: attacchi più sofisticati e infrastruttura più resiliente

Set 17, 2025 Approfondimenti, Attacchi, Attacchi, Campagne malware, In evidenza, Minacce, News, RSS

---

La minaccia di MuddyWater non si arresta, anzi: negli ultimi mesi il gruppo ha eseguito attacchi sempre più sofisticati grazie al miglioramento della propria infrastruttura e a un arricchimento dei tool di attacco.

Secondo un recente report di Group-IB, il gruppo APT iraniano sarebbe passato da campagne su larga scala ad attacchi più mirati facendo leva sullo spearphishing e sulla distribuzione di malware custom.

Attivo dal 2017, il gruppo opera seguendo gli interessi del governo dell’Iran. Gli obiettivi di MuddyWater sono solitamente realtà di settori ad alto valore, quali le telecomunicazioni, il settore energetico, quello della difesa e le entità governative.

Nel corso degli anni il gruppo ha eseguito campagne molto generiche allo scopo di colpire più vittime possibili, per esempio pubblicizzando finti corsi online e webinar. Dall’inizio del 2025, invece, c’è stato un importante cambiamento di tattiche e il gruppo ha cominciato a realizzare attacchi altamente mirati e più difficili da contrastare.

MuddyWater investe su nuovi tool e migliora la propria architettura

Tra i malware e i tool più utilizzati dal gruppo negli ultimi mesi c’è BugSleep, una backdoor custom ormai trai cavalli di battaglia di MuddyWater. Esistono diverse varianti del malware, ognuna con sempre nuovi miglioramenti e fix, a indicazione del fatto che il gruppo sta lavorando al perfezionamento del proprio arsenale.

Un’altra backdoor molto usata dal gruppo è StealthCache. Si tratta di un malware con capacità più avanzate rispetto a BugSleep e una comunicazione col server C2 significativamente più estesa. Al contrario, Phoenix è una backdoor con funzionalità molto ridotte, ma comunque ampiamente usata da MuddyWater. Il gruppo utilizza diversi altri strumenti per le proprie campagne, alcuni dei quali sono progetti open-source.

Dal punto di vista dell’infrastruttura, il gruppo può contare su una rete molto robusta a supporto degli attacchi. Il team di Group-IB riporta che MuddyWater utilizza diverse tecnologie e si affida a vari provider sia per massimizzare la flessibilità operativa che per meglio eludere i controlli. “MuddyWater ha utilizzato una vasta gamma di provider di hosting, inclusi servizi di hosting cloud e bulletproof come BlueVPS, AS-COLOCROSSING, BLNWX, SEDO, HosterDaddy, Stark Industries, DIGITALOCEAN, Strato AG, AWS, OVH SAS, Scalaxy, M247 e Clouvider Limited. La natura eterogenea dell’infrastruttura di hosting rende difficile il rilevamento e l’attribuzione, poiché non esistono modelli o preferenze distinguibili” specificano i ricercatori.

La differenziazione dei toolkit e l’uso di un’architettura robusta rendono MuddyWater una delle minacce più significative del momento. Il gruppo è attivo soprattutto nel Medio-Oriente, ma negli ultimi tempi ha intensificato le proprie attività anche in Europa e negli Stati Uniti.

“Il costante perfezionamento degli strumenti, delle infrastrutture e delle tecniche, insieme ai metodi di contro-attribuzione, indica che MuddyWater rimarrà una minaccia persistente e in grado di adattarsi, soprattutto nelle regioni e nei settori legati agli interessi strategici iraniani” sottolinea Group-IB. Per questo è indispensabile investire su sistemi di protezione e rilevamento, applicare le best practice di sicurezza e formare il personale aziendale sulle minacce odierne.

---

• APT, backdoor, campagne mirate, malware, MuddyWater, Spear Phishing

---

---