Grupo MuddyWater

MuddyWater es un grupo de actores de amenaza iraní conocido, por lo menos, desde 2017. Este grupo se centra en ataques dirigidos a gobiernos y organizaciones privadas en diferentes sectores. Atacan principalmente telecomunicaciones, gobiernos locales, industria de defensa e industria energética y de combustibles, estos ataques suelen centrarse en el Medio Oriente, Asia, África, Europa y Norteamérica, aunque se han detectado ataques recientes a organizaciones ubicadas en Sudamérica. Se sospecha que este grupo no tiene motivaciones financieras para realizar sus ataques, sino que son ataques para recolección de inteligencia y espionaje. Procuran mantener un bajo perfil y establecer persistencia, además de usar herramientas legítimas para camuflarse entre actividad normal de red y evadir detección.

Aunque se sospecha que MuddyWater es un grupo que tiene lazos con el gobierno de Irán, no hay certeza sobre si está bajo control del mismo o si son un grupo independiente con objetivos comunes.

La mayor parte de la actividad de MuddyWater se concentra en el Medio Oriente, sin embargo, suelen demostrar un interés por objetivos alineados a los intereses geopolíticos de Irán, aunque manteniendo su capacidad de operación a nivel global aprovechando las oportunidades de expandirse a países como Japón o Austria.

MuddyWater suele utilizar campañas de spearphishing para obtener acceso inicial a sus objetivos a través de archivos o enlaces maliciosos, con una gran habilidad para comprometer proveedores y reutilizar cuentas legítimas para distribuir mensajes de phishing a un nivel y credibilidad alarmantemente exitosos. El grupo también explota vulnerabilidades en aplicaciones expuestas a internet, por ejemplo, Microsoft Exchange y la vulnerabilidad CVE-2017-0199.

La actividad de este grupo aumentó en 2026, después de ataques militares. En Febrero de 2026 se detectó actividad relacionada con Seedworm, otro nombre para MuddyWater, en las redes de múltiples compañías estadounidenses e israelíes, entre ellas un aeropuerto, un banco, una ONG canadiense y una empresa de software de defensa también con presencia en Israel, algunas llevaban varias semanas de haber sido vulneradas por MuddyWater. Para lo anterior, el grupo utilizó una backdoor (puerta trasera) conocida como Dindoor basada en Deno, una librería de seguridad para JavaScript y TypeScript. También se detectó un intento de exfiltrar información usando una herramienta llamada Rclone hacia un bucket de almacenamiento en la nube de Wasabi. Aunque parece ser que estos ataques fueron, principalmente, para recabar inteligencia, es posible que el grupo comience ataques disruptivos en organizaciones que hayan sido previamente comprometidas.
 

Taxonomía

Tactic	ID	Name
T1548	0.002	Privilege Escalation
T1087	0.002	Discovery
T1583	0.006	Resource Development
T1071	0.001	Command and Control
T1560	0.001	Collection
T1547	0.001	Persistence
T1059	0.001	Execution
	0.003
	0.005
	0.006
	0.007
T1555		Credential Access
	0.003
T1132	0.001	Command and Control
T1074	0.001	Collection
T1140		Defense Evasion
T1573	0.001	Command and Control
T1041		Exfiltration
T1190		Initial Access
T1203		Execution
T1210		Lateral Movement
T1083		Discovery
T1574	0.001	Persistence
T1562	0.001	Defense Evasion
T1105		Command and Control
T1559	0.001	Execution
	0.002
T1036	0.005	Defense Evasion
T1104		Command and Control
T1027	0.003	Defense Evasion
	0.004
	0.01
T1588	0.002	Resource Development
T1137	0.001	Persistence
T1003	0.001	Credential Access
	0.004
	0.005
T1566	0.001	Initial Access
	0.002
T1057		Discovery
T1090	0.002	Command and Control
T1219		Command and Control
T1053	0.005	Persistence
T1113		Collection
T1518		Discovery
	0.001
T1218	0.003	Defense Evasion
	0.005
	0.011
T1082		Discovery
T1016		Discovery
T1049		Discovery
T1033		Discovery
T1552	0.001	Credential Access
T1204	0.001	Execution
	0.002
T1102	0.002	Command and Control
T1047		Execution

Indicadores de compromiso

IOC	Tipo
0f9cf1cf8d641562053ce533aaa413754db88e60404cab6bbaa11f2b2491d542	SHA256
1d984d4b2b508b56a77c9a567fb7a50c858e672d56e8cf7677a1fca5c98c95d1	SHA256
2a00705cfd3c15cf8913e9eb4e23968efd06f1feceaef9987d26c5518887d043	SHA256
2a09bbb3d1ddb729ea7591f197b5955453aa3769c6fb98a5ef60c6e4b7df23a5	SHA256
42a5db2a020155b2adb77c00cbe6c6ad27c2285d8c6114679d9d34137e870b3f	SHA256
7467f326677a4a2c8576e71a832e297e794ea00e9b67c4fcbe78b5aec697cec4	SHA256
7c30c16e7a311dc0cdb1cdfd9ea6e502f44c027328dbe7d960b9bcd85ccf5eef	SHA256
b0af82de672d81f3c2f153977923b3884a8a9e7045b182c2379b19a1996931a0	SHA256
bd8203ab88983bc081545ff325f39e9c5cd5eb6a99d04ae2a6cf862535c9829a	SHA256
c7cf1575336e78946f4fe4b0e7416b6ebe6813a1a040c54fb6ad82e72673478e	SHA256
077ab28d66abdafad9f5411e18d26e87fe43da1410ee8fe846bd721ab0cb52de	SHA256
2b7d8a519f44d3105e9fde2770c75efb933994c658855dca7d48c8b4897f81e6	SHA256
4aef998e3b3f6ca21c78ed71732c9d2bdcc8a4e0284f51d7462c79d446fbc7be	SHA256
64263640a6fdeb2388bca2e9094a17065308cf8dcb0032454c0a71d9b78327eb	SHA256
64cf334716f15da1db7981fad6c81a640d94aa1d65391ef879f4b7b6edf6e7f1	SHA256
74db1f653da6de134bdc526412a517a30b6856de9c3e5d0c742cb5fe9959ad0d	SHA256
a4bd1371fe644d7e6898045cc8e7b5e1562bdfd0e4871d46034e29a22dec6377	SHA256
ddceade244c636435f2444cd4c4d3dc161981f3af1f622c03442747ecef50888	SHA256
24857fe82f454719cd18bcbe19b0cfa5387bee1022008b7f5f3a8be9f05e4d14	SHA256
A92d28f1d32e3a9ab7c3691f8bfca8f7586bb0666adbba47eab3e1a8faf7ecc0	SHA256
3df9dcc45d2a3b1f639e40d47eceeafb229f6d9e7f0adcd8f1731af1563ffb90	SHA256
1319d474d19eb386841732c728acf0c5fe64aa135101c6ceee1bd0369ecf97b6	SHA256

Recomendaciones

• Implementar cursos y capacitación sobre phishing a todos los empleados de la organización.
• Monitorear tráfico de red inusual y el uso de herramientas como Rclone y similares.
• Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
• Auditar herramientas de acceso remoto. (NIST CSF, 2024)
• Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
• Limitar estrictamente el uso de los protocolos SMB y RDP.
• Realizar auditorías de seguridad. (NIST CSF, 2024)
• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
• Tener filtros de correo electrónico y spam.
• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
• Realizar copias de seguridad, respaldos o back-ups constantemente.
• Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
• Revisar continuamente los privilegios de los usuarios.
• Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
• Habilitar la autenticación multifactorial.

Referencias

1. Horejsi, J. (2018, marzo 12). Potential MuddyWater Campaign Seen in the Middle East. Trend Micro. https://www.trendmicro.com/en_us/research/18/c/campaign-possibly-connected-muddywater-surfaces-middle-east-central-asia.html
2. Lancaster, T. (s. f.). Muddying the Water: Targeted Attacks in the Middle East. 2017-11-14. Recuperado el 09 de marzo de 2026, en https://cyble.com/threat-actor-profiles/muddywater-apt/
3. Lyons, J. (2026, marzo 5). Iran intelligence backdoored US bank, airport networks. The Register. Recuperado el 09 de marzo de 2026, en Recuperado el 09 de marzo de 2026, en https://www.theregister.com/2026/03/05/mudywater_backdoor_us_networks/
4. Threat Hunter Team. (2026, marzo 5). Seedworm: Iranian APT on Networks of U.S. Bank, Airport, Software Company. Security.Com. Recuperado el 09 de marzo de 2026, en https://www.security.com/threat-intelligence/iran-cyber-threat-activity-us

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios