MuddyWater (grupo de piratería) ⇐ Proyectos de artículos

[Anonymous]

'''MuddyWater''' es un grupo iraní de ciberespionaje y amenaza persistente avanzada (APT) que se considera parte o subordinado al Ministerio de Inteligencia y Seguridad (MOIS) | Ministerio de Inteligencia iraní (Irán).
Identificado públicamente por primera vez en 2017, se ha dirigido a agencias gubernamentales, operadores de telecomunicaciones, organizaciones de defensa, universidades, compañías de petróleo y gas y otras entidades de sectores críticos en Medio Oriente, Asia, Europa, África y América del Norte.
== Características ==
MuddyWater ha sido descrito como un grupo de espionaje respaldado por el estado iraní y se le rastrea bajo numerosos alias, incluidos '''Seedworm''', '''Static Kitten''', '''TEMP.Zagros''', '''Earth Vetala'', '''MERCURY''', '''Mango Sandstorm''', '''TA450'' y '''Boggy Serpens''.
El grupo ha dependido en gran medida del phishing y de la explotación de vulnerabilidades conocidas públicamente en servidores conectados a Internet. También ha hecho un uso extensivo de técnicas de vida de la tierra, herramientas basadas en PowerShell y software legítimo de administración y monitoreo remoto como ScreenConnect, SimpleHelp y Atera para evitar la detección.
== Historia ==

=== 2017–2022 ===
El grupo más tarde conocido como MuddyWater se documentó públicamente en noviembre de 2017 después de que las campañas que se llevaron a cabo entre febrero y octubre de ese año afectaran a organizaciones en Arabia Saudita, Irak, Israel, los Emiratos Árabes Unidos, Georgia, India, Pakistán, Turquía y los Estados Unidos. nombre="sw2017" />
Para 2018, los investigadores dijeron que el grupo había ampliado su victimología en Medio Oriente, Europa y América del Norte y había comprometido a más de 130 víctimas en 30 organizaciones solo desde septiembre de ese año. Symantec informó que el grupo utilizó puertas traseras personalizadas como Powermud y Powemuddy junto con herramientas de código abierto como LaZagne y CrackMapExec para robar credenciales y moverse lateralmente dentro de las redes comprometidas.

En 2020 y 2021, se informó de más actividades vinculadas al grupo contra organizaciones gubernamentales, de telecomunicaciones y de servicios de TI en Irak, Turquía, Kuwait, Emiratos Árabes Unidos, Georgia, Israel, Jordania, Arabia Saudita, Pakistán, Tailandia y Laos.
En septiembre de 2021, el Departamento del Tesoro de los Estados Unidos citó a MuddyWater al sancionar al MOIS y al ministro de inteligencia de Irán por actividad cibernética maligna. En febrero de 2022, la Oficina Federal de Investigaciones (FBI), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Agencia de Seguridad Nacional (NSA), la Fuerza de Misión Nacional Cibernética del Comando Cibernético de los Estados Unidos y el Centro Nacional de Seguridad Cibernética del Reino Unido emitieron formalmente un aviso conjunto. describiendo a MuddyWater como un actor patrocinado por el gobierno iraní y un elemento subordinado dentro del MOIS.
=== 2023 ===
En febrero de 2023, la Dirección Cibernética Nacional de Israel atribuyó el ciberataque disruptivo al Technion, el Instituto de Tecnología de Israel, a MuddyWater, diciendo que la operación se había llevado a cabo bajo la falsa identidad de ransomware "DarkBit".
=== 2024 ===
MuddyWater aumentó su actividad contra objetivos israelíes después del inicio de la guerra entre Israel y Hamas. En campañas observadas en marzo y abril de 2024, el grupo utilizó cuentas de correo electrónico comprometidas y archivos PDF que contenían enlaces incrustados para entregar archivos maliciosos y herramientas de monitoreo remoto a empleados israelíes en empresas multinacionales. Durante este período, MuddyWater había ampliado su uso de software legítimo de administración y monitoreo remoto, especialmente Atera Agent y ScreenConnect, y también había comenzado a implementar una puerta trasera personalizada denominada BugSleep contra organizaciones en Israel. Los analistas dijeron que el grupo distribuyó estas herramientas a través de cuentas organizacionales comprometidas y servicios de intercambio de archivos como Egnyte, Onehub, Sync y TeraBox.

=== 2025 ===
En octubre de 2025, MuddyWater inició una campaña de phishing que utilizaba un buzón de correo comprometido para enviar documentos maliciosos de Microsoft Word a todo Oriente Medio y el norte de África. Se dijo que la campaña se dirigió a más de 100 entidades gubernamentales y desplegó una puerta trasera personalizada llamada Phoenix.
=== 2026 ===
En febrero de 2026, Group-IB reveló la "Operación Olalampo", que atribuyó a MuddyWater. La campaña se dirigió a múltiples organizaciones e individuos principalmente en Medio Oriente y África del Norte y utilizó nuevas familias de malware, incluidas CHAR, GhostFetch, HTTP_VIP y GhostBackDoor, con una variante que se comunica a través de un bot de Telegram utilizado para comando y control.
Más tarde, en marzo de 2026, la Unidad 42 de Palo Alto Networks dijo que el grupo había refinado aún más sus operaciones a través de compromisos de "relaciones de confianza", un objetivo más amplio de organizaciones marítimas, de aviación y financieras, y un malware más nuevo escrito en Rust (Rust (lenguaje de programación)). La Unidad 42 también vinculó las operaciones de principios de 2025 con superposiciones con Lyceum, un conjunto de intrusión iraní asociado con OilRig.

== Ver también ==
* Lista de grupos de hackers
* La guerra cibernética e Irán
*APT35
* Gatito Helix

Guerra cibernética en Irán
Grupos de hackers
Ministerio de Inteligencia (Irán)
Organizaciones establecidas en 2017

More details: https://en.wikipedia.org/wiki/MuddyWate ... ing_group)