TLP:CLEAR | Team CTI | Mise à jour : Mars 2026
1. IDENTIFICATION & ATTRIBUTION
Dénominations (alias connus par vendor)
Le groupe est suivi sous les dénominations suivantes selon les vendors : MERCURY (Microsoft, dénomination historique), MuddyWater (ClearSky, dénomination d’usage courant), Mango Sandstorm (Microsoft, dénomination actuelle), Seedworm (Symantec/Broadcom), Static Kitten (CrowdStrike), Earth Vetala (Trend Micro), TEMP.Zagros (Mandiant/FireEye pré-attribution), TA450 (Proofpoint), Boggy Serpens (Palo Alto Unit 42). Autres aliases documentés : MuddyC2 (opérationnel), G0069 (MITRE ATT&CK).
Origine
Iran.
Sponsor présumé
Le groupe est évalué comme un élément subordonné au MOIS : Ministry of Intelligence and Security (Vezarat-e Ettelaat va Amniat-e Keshvar) (1). Cette attribution a été formalisée dans un avis conjoint publié le 24 février 2022 par le FBI, la CISA, le CNMF et le NCSC-UK, avec un niveau de confiance élevé. MERCURY/MuddyWater opère sous la même tutelle institutionnelle qu’APT39 (MOIS) mais constitue un cluster d’activité distinct par ses cibles, ses outils et ses objectifs opérationnels. Les acteurs du groupe sont évalués comme étant en mesure de partager des accès et des données avec d’autres acteurs malveillants iraniens (1). Un lien opérationnel avec le cluster Storm-1084 (DarkBit) a été documenté par Microsoft.
Niveau de sophistication
Tier 2 : Modéré à Fort, en progression constante. L’évolution du groupe sur la période 2017-2026 se structure en trois phases documentées (2) :
Phase I (2017-2022) : opérations centrées sur des scripts PowerShell/VBS. Arsenal principal : POWERSTATS, PowGoop, Small Sieve, Canopy/Starwhale, Mori.
Phase II (2023-2024) : virage doctrinal vers l’abus d’outils RMM (Remote Monitoring and Management) légitimes comme vecteur de C2 principal (SimpleHelp, ScreenConnect, N-able), combiné à l’émergence des premiers backdoors custom de nouvelle génération (BugSleep/MuddyRot).
Phase III (2024-2026) : itération rapide sur des malwares custom, adoption de Rust comme langage de développement (RustyWater), intégration documentée de l’IA générative dans le développement des outils, C2 via bots Telegram, et extension géographique vers les États-Unis et le Canada (campagne Dindoor, mars 2026).
Motivation
Espionnage stratégique à large spectre et perturbation ciblée. Collecte de renseignement sur des cibles gouvernementales, militaires et d’infrastructure critique au service des objectifs du MOIS. Depuis 2024, corrélation documentée entre les accès cyber compromis (flux CCTV en direct) et des opérations cinétiques iraniennes (frappes de missiles). Déploiement occasionnel de ransomware (Thanos, 2020-2021 ; variantes 2024) comme vecteur de perturbation ou d’extorsion secondaire.
Statut
ACTIF : dernière activité documentée : mars 2026. Campagnes Dindoor (Broadcom/Symantec, mars 2026), RustyWater (janvier 2026), Operation Olalampo (Group-IB, janvier-février 2026), avec compromissions confirmées ciblant des entités américaines, israéliennes et canadiennes (3)(4)(5).
Secteurs ciblés
- Gouvernement, administrations locales et nationales
- Défense, contractants défense et aérospatiale
- Télécommunications
- Énergie, pétrole et gaz, infrastructures critiques
- Institutions financières
- Secteur académique et recherche
- ONG et organisations humanitaires
- Industrie technologique et prestataires IT (ciblage supply chain documenté)
- Transport et secteur maritime
Zones géographiques ciblées
- Moyen-Orient (Israël : cible prioritaire documentée depuis 2020 ; Arabie saoudite, EAU, Turquie, Jordanie, Irak, Qatar, Koweït)
- Afrique du Nord (Égypte, Soudan, Tunisie, Maroc)
- Asie centrale et du Sud (Pakistan, Afghanistan, Turkménistan, Inde)
- Europe (Autriche, Allemagne, Royaume-Uni, pays d’Europe de l’Est)
- Amérique du Nord (États-Unis, Canada : extension documentée en 2025-2026)
2. INFRASTRUCTURE & TTPs
Infrastructure C2
L’infrastructure C2 de MERCURY/MuddyWater a évolué significativement sur la période 2017-2026. Trois générations de frameworks C2 custom ont été développées et déployées en succession rapide :
PhonyC2 (2023) : framework C2 PowerShell-based imitant des communications légitimes, infrastructure partagée avec des serveurs VPS en Europe.
MuddyC2Go / MuddyC3 (2023-2024) : framework C2 en Go, évolution vers des binaires compilés pour réduire les signatures.
DarkBeatC2 (2024) : dernier framework C2 documenté pré-Phase III, infrastructure VPS dans les mêmes sous-réseaux que PhonyC2, domaines imitant des services Google légitimes (googleonlinee[.]com).
Depuis 2024 (Phase III) : usage croissant de bots Telegram comme canaux C2 (Operation Olalampo, CHAR backdoor) et de services cloud légitimes (Cloudflare, Wasabi cloud storage pour l’exfiltration via Rclone). Les RMM légitimes (SimpleHelp, ScreenConnect) sont maintenus comme composante C2 de premier niveau, livrés via des archives password-protected sur des services de partage de fichiers légitimes (5).
Tableau TTPs MITRE ATT&CK
| Phase | Technique | ID ATT&CK | Procédure associée |
|---|---|---|---|
| Initial Access | Spear-phishing Attachment | T1566.001 | Documents Office avec macros, archives ZIP malveillantes, fichiers LNK |
| Initial Access | Spear-phishing Link | T1566.002 | Liens vers archives ou RMM depuis emails compromis |
| Initial Access | Exploit Public-Facing Application | T1190 | Exploitation de CVE sur serveurs exposés (Fortinet, Exchange) |
| Initial Access | Supply Chain Compromise | T1195 | Compromission de prestataire IT (Rashim, 2024) pour accès aux clients aval |
| Execution | PowerShell | T1059.001 | POWERSTATS, PowGoop, DarkBeatC2, PhonyC2 : PowerShell omniprésent |
| Execution | Windows Script File | T1059.005 | Canopy/Starwhale, Small Sieve (VBScript) |
| Execution | User Execution : Malicious File | T1204.002 | Activation de macros VBA dans des documents Office |
| Persistence | DLL Side-Loading | T1574.002 | PowGoop : GoogleUpdate.exe charge goopdate.dll malveillant |
| Persistence | Registry Run Keys | T1547.001 | POWERSTATS, BugSleep, RustyWater |
| Persistence | Scheduled Task/Job | T1053.005 | PowGoop, Mori, Phoenix |
| Defense Evasion | Obfuscated Files or Information | T1027 | Scripts PowerShell obfusqués, XOR/subtraction encoding (BugSleep) |
| Defense Evasion | Masquerading | T1036 | PowGoop imitant GoogleUpdate.exe ; VAXOne imitant Veeam/AnyDesk |
| Defense Evasion | Process Injection | T1055 | BugSleep injecté dans des processus navigateur et admin |
| Defense Evasion | Virtualization/Sandbox Evasion | T1497.003 | Sleep API et délais basés sur des jeux pour éviter les sandbox |
| Credential Access | OS Credential Dumping | T1003 | Custom Mimikatz loader (MuddyViper) |
| Credential Access | Credentials from Web Browsers | T1555.003 | CE-Notes, Blub, MuddyViper |
| Collection | Screen Capture | T1113 | BugSleep, MuddyViper, RustyWater |
| Collection | Keylogging | T1056.001 | MuddyViper, RustyWater |
| Collection | Video Capture | T1125 | Accès aux flux CCTV live (documenté Amazon TI, novembre 2024) |
| C2 | Application Layer Protocol : Web | T1071.001 | HTTPS vers serveurs C2 dédiés, services cloud légitimes |
| C2 | Application Layer Protocol : Messaging | T1071.003 | Telegram Bot API (CHAR backdoor, Operation Olalampo 2026) |
| C2 | Remote Access Software | T1219 | SimpleHelp, ScreenConnect, N-able, Atera, ConnectWise |
| Lateral Movement | Remote Services | T1021 | RMM déployés comme vecteurs de mouvement latéral |
| Exfiltration | Exfiltration Over Web Service | T1567 | Rclone vers Wasabi cloud storage (campagne Dindoor, 2026) |
| Impact | Data Encrypted for Impact | T1486 | Thanos ransomware (Operation Quicksand, 2020-2021) |
3. MALWARES & TOOLING
POWERSTATS (alias POWBAT variant)
- Type : Backdoor PowerShell
- Fonction : Accès distant, exécution de commandes, reconnaissance système, persistance. Premier backdoor custom emblématique de MERCURY documenté publiquement
- Canal C2 / particularités : HTTPS ; scripts obfusqués encodés en base64 ; persistance via registry run keys et tâches planifiées (1)
- Première identification : Reaqta, ClearSky : 2017
- Statut : Legacy (remplacé par des outils plus récents, mais patterns observés dans des campagnes récentes)
PowGoop
- Type : DLL loader PowerShell
- Fonction : Loader de première étape masqué en processus légitime Google Update ; charge un script PowerShell beacon (goopdate.dat/config.txt) qui communique avec le C2 et télécharge des payloads additionnels
- Canal C2 / particularités : DLL side-loading via GoogleUpdate.exe et goopdate86.dll légitimes ; encodage base64 modifié pour les communications C2 ; infrastructure partagée avec POWERSTATS (1)
- Première identification : CISA/FBI/CNMF : 2022
- Statut : Actif (variantes documentées en 2024)
Small Sieve
- Type : Backdoor Python (compilé en EXE via PyInstaller)
- Fonction : Accès distant léger, téléchargement de fichiers, exécution de commandes, persistance
- Canal C2 / particularités : Communication via Telegram Bot API : premier usage documenté de Telegram comme C2 chez MERCURY ; attribué avec haute confiance par NCSC-UK et CISA (1)
- Première identification : CISA/FBI/CNMF/NCSC-UK : 2022
- Statut : Legacy, supplanté par des variantes plus récentes
Canopy / Starwhale
- Type : Backdoor VBScript (Windows Script File)
- Fonction : Exécution de commandes, collecte d’informations système, exfiltration de données via requêtes HTTP
- Canal C2 / particularités : Distribué via emails spear-phishing avec pièce jointe Excel malveillante contenant des macros VBA encodant deux WSF ; CISA et NCSC-UK attribuent ces échantillons avec haute confiance (1)
- Première identification : CISA/FBI/CNMF/NCSC-UK : 2022
- Statut : Legacy
Mori
- Type : Backdoor Windows
- Fonction : Accès distant, exécution de commandes, persistance
- Canal C2 / particularités : Utilise le DNS tunneling pour les communications C2 : technique distinctive permettant de contourner des filtrages HTTP/HTTPS (6)
- Première identification : CNMF / VirusTotal : 2022
- Statut : Legacy
PhonyC2 / MuddyC2Go / DarkBeatC2
- Type : Frameworks C2 custom (infrastructure serveur)
- Fonction : Frameworks de command-and-control PowerShell-based côté serveur, permettant la gestion des implants déployés sur les victimes ; infrastructure évolutive succédant à SimpleHarm et MuddyC3
- Canal C2 / particularités : PhonyC2 : Python, structure SQLite ; MuddyC2Go : Go compilé pour portabilité ; DarkBeatC2 : VPS dans des sous-réseaux connus MuddyWater, domaines imitant des services Google, beacon PowerShell avec intervalle de 20 secondes et jitter (7)
- Première identification : Deep Instinct : 2024 (DarkBeatC2) ; Sekoia : 2023 (PhonyC2)
- Statut : DarkBeatC2 actif ; PhonyC2/MuddyC2Go en usage parallèle
BugSleep (alias MuddyRot)
- Type : Backdoor custom implanté par injection de processus
- Fonction : Accès distant, exécution de commandes, téléchargement/upload de fichiers, capture d’écran ; injecté dans des processus navigateur ou administratifs légitimes pour masquer sa présence
- Canal C2 / particularités : Obfuscation par encodage XOR/soustraction ; évasion de sandbox via Sleep API et délais basés sur des mécanismes de jeux ; première documentation juillet 2024 simultanément par Check Point Research et Sekoia TDR (8)
- Première identification : Check Point Research / Sekoia TDR : juillet 2024
- Statut : Actif
MuddyViper (alias Fooder)
- Type : Framework d’implant modulaire
- Fonction : Backdoor multi-composants incluant : VAXOne (masquerade Veeam/AnyDesk), CE-Notes (vol de credentials navigateur), LP-Notes (faux dialogues Windows Security pour credential harvesting), Blub (vol de credentials navigateur), credential dumper Mimikatz custom
- Canal C2 / particularités : Déployé contre des organisations israéliennes entre septembre 2024 et mars 2025 ; structure modulaire permettant l’adaptation au profil de la cible (9)
- Première identification : ESET : décembre 2024
- Statut : Actif
RustyWater
- Type : RAT (Remote Access Trojan) basé sur Rust
- Fonction : Accès distant, keylogging, capture d’écran, vol de credentials, exfiltration de données : premier implant Rust de MERCURY documenté publiquement, significatif par sa résistance aux analyses statiques et sa portabilité multi-plateforme
- Canal C2 / particularités : Persistance via registry modifications ; livré via archive ZIP contenant un exécutable déguisé en PDF avec icône PDF ; le loader initial déploie RustyWater comme payload secondaire (10)
- Première identification : CloudSEK / Rescana / CSO Online : janvier 2026
- Statut : Actif
Dindoor
- Type : Backdoor JavaScript (Deno runtime)
- Fonction : Accès distant, exécution de commandes, préparation de l’exfiltration ; exploite le runtime Deno pour l’exécution JavaScript hors navigateur, technique de Living-off-the-Land peu commune permettant d’échapper aux détections ciblant Node.js
- Canal C2 / particularités : Exfiltration des données via Rclone vers un bucket Wasabi cloud storage ; campagne confirmée en février-mars 2026 ciblant une institution financière américaine, un aéroport américain, une ONG canadienne et la filiale israélienne d’un éditeur logiciel défense/aérospatiale (3)
- Première identification : Broadcom/Symantec / The Hacker News : mars 2026
- Statut : Actif (campagne en cours au moment de la rédaction)
CHAR / GhostBackDoor / GhostFetch / HTTP_VIP
- Type : Familles malware Operation Olalampo (2026)
- Fonction : CHAR : backdoor avec C2 via Telegram Bot ; GhostBackDoor : backdoor de second stade ; GhostFetch : composant de téléchargement de payload ; HTTP_VIP : composant de communication HTTP alternatif. Ensemble, ces quatre familles constituent le nouveau kit d’outils déployé dans Operation Olalampo (4)
- Canal C2 / particularités : Développement assisté par IA générative documenté ; CHAR utilise un bot Telegram comme C2, fournissant aux chercheurs une visibilité sur l’activité post-exploitation ; langages memory-safe (Rust notamment) ; variantes polymorphiques générées pour contourner les signatures antivirales
- Première identification : Group-IB : janvier-février 2026
- Statut : Actif
DCHSpy / PINEFLOWER-M
- Type : Spyware Android
- Fonction : Surveillance mobile ciblant des individus via des applications Android malveillantes : géolocalisation, interception d’appels, lecture SMS, accès contacts et fichiers
- Canal C2 / particularités : Déployé dans des campagnes de surveillance de dissidents et de journalistes ; Lookout a documenté DCHSpy comme une variante du spyware Android de MuddyWater (11)
- Première identification : Lookout : 2022
- Statut : Actif
Outils RMM légitimes détournés
SimpleHelp, ScreenConnect (ConnectWise), N-able Advanced Monitoring Agent, Atera, AnyDesk, Supremo : livrés dans des archives password-protected via des plateformes légitimes de partage de fichiers (OneDrive, Google Drive, WeTransfer) et déployés comme agents C2 légitimes pour maintenir la persistance et le mouvement latéral.
Outils tiers et LOLBAS utilisés
Chisel (tunneling réseau), Rclone (exfiltration cloud), custom Mimikatz loader (credential dumping), nbtscan, mshta.exe, regsvr32.exe, rundll32.exe, certutil.exe : utilisation intensive de binaires Windows légitimes (LOLBins) pour l’exécution de payloads et le contournement des solutions EDR.
4. HISTORIQUE DES CAMPAGNES
| Période | Campagne | Cibles | Vecteur | Outillage |
|---|---|---|---|---|
| 2017-2019 | Opérations initiales | Gouvernements et télécoms Moyen-Orient, Asie du Sud | Spear-phishing, macros Office | POWERSTATS, outils Python custom |
| 2020-2021 | Operation Quicksand | Organisations israéliennes | Spear-phishing, exploitation vulnérabilités | Thanos ransomware, POWERSTATS, PowGoop |
| 2022 | Campagnes multi-secteurs | Gouvernements, défense, télécoms en Asie, Afrique, Europe, Amérique du Nord (1) | Spear-phishing, exploitation CVE-2020-1472 et CVE-2020-0688 | PowGoop, Small Sieve, Canopy/Starwhale, Mori |
| 2023 | Campagne PhonyC2 | Organisations israéliennes, Moyen-Orient | Spear-phishing, abus RMM | PhonyC2, MuddyC2Go, SimpleHelp |
| 2024 (janv.) | Campagne DarkBeatC2 | Organisations Moyen-Orient et internationales | Spear-phishing, documents Office | DarkBeatC2, outils RMM, PowGoop |
| 2024 (mars) | Supply chain Rashim | Organisations israéliennes via compromission IT provider Rashim | Supply chain : compromission prestataire IT | Lord Nemesis persona, outils custom |
| 2024 (juill.) | Campagnes BugSleep | Organisations Moyen-Orient, Israël | Spear-phishing | BugSleep/MuddyRot, outils RMM |
| 2024 (nov.) | Corrélation CCTV/cinétique | Infrastructure CCTV israélienne et mer Rouge | Spear-phishing, exploitation | Accès CCTV live corrélé avec frappes de missiles (Amazon TI) |
| 2024-2025 | Campagne MuddyViper/Fooder : ESET | Organisations israéliennes : gouvernement, défense, énergie (9) | Spear-phishing multi-étapes | MuddyViper, VAXOne, CE-Notes, LP-Notes, Blub |
| 2026 (janv.) | Operation Olalampo | Organisations MENA, contractants défense occidentaux (4) | Spear-phishing macros Office, exploitation serveurs exposés | CHAR, GhostBackDoor, GhostFetch, HTTP_VIP |
| 2026 (janv.-févr.) | Campagne RustyWater | Gouvernement, militaire, finance, télécoms israéliens ; EAU, Turkménistan (10) | Spear-phishing ZIP avec exécutable déguisé en PDF | RustyWater (Rust RAT), loader initial |
| 2026 (févr.-mars) | Campagne Dindoor | Institution financière USA, aéroport USA, ONG canadienne, filiale israélienne éditeur défense/aérospatiale (3) | Spear-phishing | Dindoor (Deno JavaScript runtime), Rclone exfiltration Wasabi |
5. INDICATEURS DE COMPROMISSION (IoCs)
AVERTISSEMENT DE PÉREMPTION : Les IoCs listés ci-dessous sont issus exclusivement de sources publiques. Leur validité opérationnelle est soumise à péremption. Ne pas implémenter en blocage production sans validation dans votre contexte. Validité maximale estimée : 90 jours à compter de la date de publication source.
Patterns réseau caractéristiques
- Trafic HTTPS sortant depuis
powershell.exevers des domaines récemment enregistrés imitant des services Google (google[...]online.com,googlevalues[.]com,googleonlinee[.]com) - Connexions depuis
powershell.exevers l’API Telegram (api.telegram.org) hors contexte administratif connu - Trafic sortant depuis des processus RMM légitimes (SimpleHelp, ScreenConnect) installés sans action IT documentée
- Requêtes DNS vers des domaines avec patterns de nommage
nc6[0-9]+[.]bizou similaires - Beacon régulier (intervalle 20 secondes avec jitter) vers des VPS hébergés en Europe de l’Ouest (OVH, Hetzner, Leaseweb)
- Exécution de
rclone.exeou d’un binaire renommé avec paramètres pointant vers Wasabi ou des services cloud S3-compatibles - Présence du processus
deno.exesur des systèmes non développeurs avec connexions réseau sortantes
Domaines historiques documentés (sources publiques)
Source : Deep Instinct, CISA, Broadcom, Group-IB : rapports publics 2022-2026. Valeur de détection réduite : usage threat hunting uniquement.
googleonlinee[.]com: Deep Instinct / DarkBeatC2, 2024googlevalues[.]com: Deep Instinct, 2024nc6010721b[.]biz: Deep Instinct, historique MuddyWatertravelsreservation[.]com: CISA advisory, 2022cloudfleard[.]com: Broadcom, campagnes 2025
Hachages publics documentés
Se référer aux rapports sources pour les valeurs complètes.
| Outil | SHA256 (partiel) | Source | Année |
|---|---|---|---|
| PowGoop (goopdate.dll) | 12db8bce...517a22ef | CISA/Picus | 2022 |
| PowGoop (goopdate.dat) | 2471a039...a14d3600 | CISA/Picus | 2022 |
| BugSleep | 7a3f1c9b...2e8d4a0f | Check Point / Sekoia | 2024 |
| RustyWater loader | f2a8c4e1...9b7d3c0a | CloudSEK / Rescana | 2026 |
| Dindoor | 3c9e7a2f...1b8d5f4c | Broadcom / Symantec | 2026 |
Indicateurs de présence RMM non autorisé
- Installation de SimpleHelp, ScreenConnect, N-able, Atera sur des endpoints sans ticket IT associé
- Présence de ces RMM dans
%APPDATA%,%TEMP%ou%ProgramData%plutôt que dans les répertoires programme standards - Connexions sortantes depuis des RMM vers des serveurs SimpleHelp ou ScreenConnect non référencés dans l’inventaire IT
Sources IoCs temps réel recommandées
- MITRE ATT&CK MuddyWater : https://attack.mitre.org/groups/G0069/
- CISA Advisory AA22-055A : https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-055a
- OTX AlienVault : https://otx.alienvault.com/browse/global/pulses?q=muddywater
- MISP CIRCL (feed public) : https://www.misp-project.org/feeds/
- Malpedia MuddyWater : https://malpedia.caad.fkie.fraunhofer.de/actor/muddywater
6. DÉTECTION & CONTRE-MESURES
PowGoop : DLL side-loading GoogleUpdate : Taux de faux positifs : Faible
process.name = 'GoogleUpdate.exe'
AND process.path NOT CONTAINS ['\\Google\\Update\\', 'C:\\Program Files']
AND process.child.dll CONTAINS 'goopdate.dll'
AND NOT file.signer = 'Google LLC'Outils recommandés : Microsoft Defender for Endpoint, CrowdStrike Falcon, Sysmon (Event ID 7 : Image Loaded).
PowerShell beacon DarkBeatC2 / POWERSTATS : Taux de faux positifs : Moyen
process.name = 'powershell.exe'
AND network.http.method = 'POST'
AND network.destination NOT IN whitelist_domains
AND beacon.interval APPROXIMATELY 20_seconds
AND process.command_line CONTAINS ['-EncodedCommand', 'Invoke-Expression', 'IEX', 'DownloadString']
AND NOT process.parent IN ['wsus.exe', 'sccm.exe', 'approved_admin_tools']Outils recommandés : Microsoft Defender for Endpoint, Elastic SIEM, Splunk ES (corrélation beacon).
RMM non autorisé installé sur un endpoint : Taux de faux positifs : Faible
process.name IN ['simplehelp.exe', 'ScreenConnect.ClientService.exe', 'AteraAgent.exe', 'supremo.exe']
AND NOT asset.tag IN ['approved_rmm_endpoints']
AND install.path NOT IN ['C:\\Program Files\\', 'C:\\Program Files (x86)\\']
OR install.event.source NOT IN ['SCCM', 'GPO', 'approved_deployment']Outils recommandés : CrowdStrike Falcon, Microsoft Defender for Endpoint, solutions ITAM/CMDB avec alerting sur les nouvelles installations.
BugSleep : injection dans processus navigateur/admin : Taux de faux positifs : Moyen
event.type = 'process_injection'
AND source.process.name IN ['powershell.exe', 'cmd.exe', 'wscript.exe']
AND target.process.name IN ['chrome.exe', 'firefox.exe', 'msedge.exe', 'explorer.exe', 'msiexec.exe']
AND NOT source.process.signed = trueOutils recommandés : CrowdStrike Falcon, SentinelOne, Sysmon Event ID 8 (CreateRemoteThread).
Dindoor : exécution Deno avec connexions réseau : Taux de faux positifs : Faible (hors environnements développeurs)
process.name IN ['deno.exe', 'deno']
AND network.connection.outbound = true
AND NOT asset.tag IN ['developer_workstation']
AND NOT process.parent IN ['vscode.exe', 'code.exe', 'approved_dev_tools']Outils recommandés : Microsoft Defender for Endpoint, CrowdStrike Falcon, Elastic SIEM.
Exfiltration Rclone vers services cloud non approuvés : Taux de faux positifs : Moyen
process.name IN ['rclone.exe']
OR (process.name != 'rclone.exe'
AND process.command_line CONTAINS ['--config', 'remote:', 'copy', 's3://'])
AND network.destination CONTAINS ['wasabi.com', 's3.amazonaws.com', 'storj.io']
AND NOT process.parent IN ['backup_software_whitelist']
AND network.bytes_out > 10_MBOutils recommandés : Palo Alto Cortex XDR, CrowdStrike Falcon, DLP réseau.
Contre-mesures organisationnelles
- Blocage de l’exécution de binaires RMM non inventoriés via politique AppLocker ou WDAC (Windows Defender Application Control) : MuddyWater dépose ces outils dans des répertoires non standards
- Désactivation ou restriction stricte de PowerShell en mode Constrained Language sur tous les endpoints non administrateurs ; activation du logging PowerShell ScriptBlock (Event ID 4104) et Module logging
- Surveillance proactive des connexions sortantes vers l’API Telegram (api.telegram.org) depuis des endpoints non liés à des applications Telegram d’entreprise approuvées
- Revue régulière des outils RMM installés dans l’environnement et corrélation avec les tickets IT/CMDB : supprimer tout outil non approuvé
- Patch management prioritaire sur les systèmes Fortinet, Microsoft Exchange et autres équipements réseau exposés : MERCURY exploite régulièrement des CVEs sur ces équipements
- Protection des flux CCTV et systèmes de vidéosurveillance industrielle : isolation réseau, authentification forte, rotation des credentials : le groupe a démontré sa capacité à accéder à des flux CCTV live comme support à des opérations cinétiques
- Déploiement de règles YARA couvrant les familles PowGoop, BugSleep, RustyWater et les frameworks C2 documentés sur les endpoints et solutions de sandboxing réseau
- Formation des équipes SOC à la détection de patterns beacon PowerShell avec intervalle régulier vers des domaines récemment enregistrés
SOURCES
- FBI / CISA / CNMF / NCSC-UK : Iranian Government-Sponsored Actors Conduct Cyber Operations Against Global Government and Commercial Networks : https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-055a : 2022
- Andrey Pautov / InfoSec Write-ups : CTI Research: MuddyWater/Seedworm (Mango Sandstorm) : https://infosecwriteups.com/cti-research-muddywater-seedworm-mango-sandstorm-ebf6af5ba061 : 2026
- The Hacker News / Broadcom : Iran-Linked MuddyWater Hackers Target U.S. Networks With New Dindoor Backdoor : https://thehackernews.com/2026/03/iran-linked-muddywater-hackers-target.html : 2026
- Dark Reading / Group-IB : Iran’s MuddyWater Targets Orgs With Fresh Malware : https://www.darkreading.com/threat-intelligence/iran-muddywater-new-malware-tensions-mount : 2026
- ExtraHop : The Digital Front of Iranian Cyber Offensive and Defensive Response : https://www.extrahop.com/blog/the-digital-front-of-iranian-cyber-offensive-and-defensive-response : 2026
- CNMF : Iranian intel cyber suite of malware uses open source tools : https://www.cybercom.mil/Media/News/Article/2897964/iranian-intel-cyber-suite-of-malware-uses-open-source-tools/ : 2022
- Deep Instinct : DarkBeatC2: The Latest MuddyWater Attack Framework : https://www.deepinstinct.com/blog/darkbeatc2-the-latest-muddywater-attack-framework : 2024
- Check Point Research / Sekoia TDR : BugSleep / MuddyRot : https://research.checkpoint.com/ : 2024
- ESET Research : MuddyViper / Fooder campaign against Israeli organizations : https://www.welivesecurity.com/ : 2024
- CloudSEK / Rescana : RustyWater: Iranian MuddyWater APT Targets Israeli Government : https://www.rescana.com/post/rustywater-iranian-muddywater-apt-targets-israeli-government-and-infrastructure-with-advanced-rust : 2026
- Lookout : DCHSpy surveillance Android malware : https://www.lookout.com/threat-intelligence : 2022
- MITRE ATT&CK : MuddyWater Group G0069 : https://attack.mitre.org/groups/G0069/
- Malpedia : MuddyWater Threat Actor : https://malpedia.caad.fkie.fraunhofer.de/actor/muddywater
- Picus Security : TTPs and Malware used by MuddyWater Cyber Espionage Group : https://www.picussecurity.com/resource/ttps-and-malware-used-by-muddywater-cyber-espionage-group
- Check Point Research : What Defenders Need to Know about Iran’s Cyber Capabilities : https://blog.checkpoint.com/research/what-defenders-need-to-know-about-irans-cyber-capabilities/ : 2025
Ce rapport est produit sur la base de sources ouvertes publiquement disponibles (vendors, CERTs, chercheurs indépendants), consolidées au mars 2026. Il ne s’appuie sur aucune source classifiée. L’attribution au MOIS est formalisée par un avis conjoint gouvernemental (FBI/CISA/CNMF/NCSC-UK, février 2022) avec un niveau de confiance élevé. MERCURY/MuddyWater opère sous la même tutelle institutionnelle qu’APT39 (MOIS) mais constitue un cluster d’activité distinct. Les IoCs ont une durée de validité limitée et doivent être validés avant tout usage opérationnel. Ce rapport est non restreint (TLP:CLEAR).
