Beobachtungen
MuddyWater ist einer der aktivsten und langlebigsten staatlich gesteuerten Bedrohungsakteure Irans. Das Nationale Cyber-Direktorat Israels (INCD) sowie das FBI, die CISA, die NSA und das britische NCSC ordnen den Akteur öffentlich dem iranischen Ministerium für Nachrichtenwesen und Sicherheit (MOIS) zu. Seit mindestens 2017 führt MuddyWater kontinuierliche Spionagekampagnen gegen staatliche Stellen, Telekommunikationsunternehmen, Kritische Infrastruktur und Unternehmen durch. Der geographische Schwerpunkt liegt dabei auf Zielen im Nahen Osten, Europa und Nordamerika.
MuddyWater zielt auf langfristigen, unentdeckten Zugang zu Zielnetzwerken ab, um strategisch wertvolle Informationen zu sammeln. Darunter Regierungsdokumente, Infrastrukturdaten und Telekommunikationsverkehr. Check Point Research beobachtet, dass der Akteur in jüngster Vergangenheit groß angelegte Phishing-Wellen an mehrere hundert Empfänger versendet hat. Für hochwertige Ziele setzt der Akteur individuelle Spear-Phishing-Angriffe ein.
ESET Research dokumentiert zwischen September 2024 und März 2025 eine in ihrer technischen Reife bislang ungewöhnliche Kampagne von MuddyWater. Sie betrifft primär israelische Ziele in den Bereichen Bauwesen, Kommunalverwaltung, Fertigung, Technologie und Versorgung. Die Kampagne fiel durch den Einsatz bislang unbekannter, eigens entwickelter Werkzeuge auf. Dies zeigt die qualitative Weiterentwicklung der Werkzeuge des Akteurs. Das INCD bestätigt unabhängig davon, dass MuddyWater 2024 mehr als 10.000 E-Mail-Konten mit fingierten Microsoft-Sicherheitsupdates angriff.
MuddyWater weitet seinen Operationsradius seit Jahren konsequent aus. Check Point Research vermerkt außerdem, dass der Akteur im Kontext der aktuellen Eskalation im Jahr 2026 Starlink-IP-Bereiche als C2-Infrastruktur nutzt.
Methoden
- Initialer Zugang (T1566.002, T1190).
MuddyWater erlangt Erstzugang überwiegend durch Spear-Phishing-E-Mails. Sie enthalten Links zu legitimen Diensten wie OneHub, Egnyte, OneDrive oder Mega. Dort führen sie zum Download von Remote-Monitoring-und-Management-Werkzeugen (RMM) wie Atera, Level, PDQ oder SimpleHelp. Diese werden dann als Fernzugriffskanal missbraucht. Daneben nutzt die Gruppe erfolreich kompromittierte E-Mail-Konten, um Phishing-Nachrichten zu versenden. Das INCD dokumentiert ergänzend die Ausnutzung bekannter Schwachstellen in VPN-Infrastruktur als alternativen Initialzugangsvektor (T1190). - Persistenz und Lateral Movement (T1053, T1547.001, T1546.015).
Zur Persistenzsicherung setzt MuddyWater auf geplante Tasks (z. B. unter dem Tarnnamen ManageOnDriveUpdater), Einträge im Startup-Ordner sowie COM-Hijacking durch Manipulation von Registry-Schlüsseln unter HKCU\Software\Classes\CLSID. Das INCD belegt den Einsatz von DLL-Sideloading (T1574.002), bei dem legitime Anwendungen als Loader für schadhaften Code dienen. Es beschreibt Fälle, in denen der Akteur kompromittierte E-Mail-Infrastruktur nutzt, um Folge-Phishing zu verbreiten. - Maßgeschneidertes Schadwerkzeug.
ESET Research dokumentiert für die Kampagne 2024/2025 zwei bislang unbekannte Kernkomponenten. Den Fooder-Loader und die MuddyViper-Backdoor. Fooder (T1620) ist ein 64-Bit-C/C++-Loader. Er lädt seinen kryptierten Code in den Speicher. Dabei verwendet er die Snake-Spielmechanik zur Ausführungsverzögerung. Dadurch umgeht Fooder automatisierte Analyseumgebungen (T1497.003). MuddyViper unterstützt 20 Backdoor-Befehle. Darunter Dateiup- und -download, Reverse-Shell, Prozessauflistung und HackBrowserData (T1555.003) sowie die Anzeige eines gefälschten Windows-Sicherheitsdialogs zur Credential-Erfassung (T1056.002). Die Kommunikation erfolgt über HTTPS auf Port 443 mit AES-CBC-Verschlüsselung unter Nutzung der Windows CNG API. Nach ESET-Einschätzung ein Merkmal, das bisher einzigartig für Iran-nahe Gruppen ist. - Credential-Stealer (T1555.003, T1056.002).
Darüber hinaus setzt MuddyWater die eigenentwickelten Tools CE-Notes und LP-Notes ein. Beide nutzen identische Entwurfsmuster. Sie obfuskieren Strings über laufzeitbasierte Entschlüsselung und lagern erlangte Daten lokal zwischen. Anschließend übernimmt ein anderer Kanal die Exfiltration. Der Blub-Stealer ergänzt das Arsenal als eigenständiges Tool für Chrome-, Edge-, Firefox- und Opera-Zugangsdaten. - Netzwerkinfrastruktur und Tunnel (T1090).
Zur Verschleierung der tatsächlichen C2-Infrastruktur verwendet MuddyWater angepasste Go-kompilierte SOCKS5-Reverse-Tunnel. Sie basieren auf Bibliotheken wie go-socks5, yamux und resocks. Das INCD dokumentiert parallel die Verwendung des Havoc C2-Frameworks sowie des eigenentwickelten Sad-C2-Frameworks. In Kombination mit der Nutzung legitimer Cloud-Dienste entsteht ein Trafficmuster, das von herkömmlichen Sicherheitssystemen schwer von regulärem Unternehmensverkehr zu unterscheiden ist. - Zusammenarbeit mit anderen MOIS-Akteuren.
ESET Research dokumentiert erstmals eine operative Überschneidung zwischen MuddyWater und Lyceum. Lyceum ist eine Untergruppe von OilRig (auch bekannt als HEXANE / Storm-0133). Dabei fungierte MuddyWater als Initial-Access-Broker. Nach erfolgreicher Kompromittierung übergab der Akteur den Zugang an Lyceum. Als analytische Einschätzung, die nicht durch die vorliegende Quellenlage belegt ist, deutet dieses Muster auf eine zunehmend arbeitsteilige Koordinierung innerhalb des MOIS-Ökosystems hin. Dabei übernehmen spezialisierte Gruppen komplementäre Rollen in mehrstufigen Angriffen. Diese Einschätzung stützt sich auf die Tatsache, dass das Opfer kurz nach der MuddyWater-Kompromittierung ebenfalls durch Lyceum attackiert wurde und beide Gruppen dem MOIS zugeordnet werden.
Attribution
Im Februar 2022 publizierten FBI, CISA, NSA, das US Cyber Command und das britische NCSC ein gemeinsames Advisory, das MuddyWater als iranisch-staatlich gesponserten Akteur attribuiert. Das INCD bestätigt die Zuordnung. Es beschreibt eine direkte Reaktivierung der Gruppenaktivität nach Beginn des bewaffneten Konflikts im Oktober 2023. Dies ist ein Verhaltensmuster, das auf staatlich koordiniertes Handeln hindeutet.
Microsoft beschreibt die Gruppe unter der Bezeichnung Mango Sandstorm (vormals MERCURY). Das Unternehmen dokumentiert MuddyWater in gemeinsamen Operationen mit dem Cluster DEV-1084. ESET Research stützt die Zuordnung auf Opfergeographie, Werkzeugüberlappungen mit früheren MuddyWater-Kampagnen und charakteristische sprachliche Artefakte in den Binärdateien.
Die Überschneidung mit Lyceum/OilRig ergänzt das Bild einer MOIS-Koordinierung. Sie lässt jedoch offen, ob MuddyWater formal weisungsgebunden oder informell kooperierend agiert. Hypothetisch, durch die Quellenlage nicht belegt, könnte MuddyWater in bestimmten Kampagnen als Auftragnehmer für Initial-Access-Dienste innerhalb eines breiteren MOIS-Apparats fungieren. Diese Einschätzung folgt aus dem in der ESET-Kampagne 2025 erstmals direkt belegten Übergabemuster an Lyceum.
Handlungsempfehlungen
- Phishing-resistente Authentifizierung.
Der überwiegende Teil der dokumentierten MuddyWater-Kampagnen beginnt mit kompromittierten Zugangsdaten oder per E-Mail zugestellten RMM-Installern. Die Einführung FIDO2-basierter Multi-Faktor-Authentifizierung für alle extern erreichbaren Dienste eliminiert die effektivste Zugangsmethode des Akteurs. Wo hardware-basierte MFA nicht umsetzbar ist, sind Authenticator-App-basierte TOTP-Lösungen einer SMS-basierten Lösung vorzuziehen. - Kontrolle von RMM-Werkzeugen.
MuddyWater missbraucht legitime RMM-Produkte (Atera, Level, PDQ, SimpleHelp, ScreenConnect, Syncro) als primären Fernzugangskanal. Organisationen sollten eine Whitelist genehmigter RMM-Werkzeuge etablieren und die Installation nicht autorisierter RMM-Software durch Endpoint-Detection-Regeln und Anwendungsrichtlinien blockieren. Verdächtige RMM-Installationsvorgänge aus E-Mail-Anhängen oder Download-Links müssen gesondert überwacht werden. - E-Mail-Sicherheit und internes Phishing.
Das INCD dokumentiert, dass MuddyWater kompromittierte interne E-Mail-Konten für (Folge-)Phishing nutzt. Diese Methode umgeht rein domain-basierte Filtermechanismen. Notwendig sind verhaltensbasierte Anomalieerkennung im E-Mail-Verkehr, automatisierte Alarmierung bei ungewöhnlichen Postfachaktivitäten und regelmäßige Überprüfung von E-Mail-Weiterleitungsregeln. Kollaborations- oder Interview-Anfragen durch unbekannte Personen sind grundsätzlich als Phishing-Indikator zu behandeln. - Netzwerküberwachung und Egress-Filterung.
MuddyWater leitet C2-Verkehr über HTTPS auf Port 443 und setzt SOCKS5-Reverse-Tunnel ein, die Firewall- und NAT-Mechanismen umgehen. Anomalieerkennung auf Netzwerkebene sollte auf ungewöhnliche ausgehende Verbindungen zu Cloud-Hosting-Anbietern sowie auf Kommunikation über Satelliten-IP-Bereiche ausgerichtet werden. DNS-Verkehr sollte gesondert protokolliert und auf Anomalien analysiert werden. - Patch-Management und VPN-Härtung.
Das INCD verweist auf die Ausnutzung bekannter VPN-Schwachstellen als alternativen Initialzugangsvektor. Alle internet-exponierten Systeme sind unverzüglich mit verfügbaren Sicherheitsupdates zu versorgen. MuddyWater hat in zurückliegenden Kampagnen Schwachstellen in Microsoft Exchange und Fortinet-Produkten ausgenutzt. - Endpoint Detection für Staging-Muster.
Die von ESET dokumentierten Stealer-Werkzeuge legen Daten lokal unter C:\Users\Public\Downloads\ ab, bevor ein weiterer Kanal die Exfiltration übernimmt. Detektionsregeln für dateibasiertes Staging in öffentlich zugänglichen Verzeichnissen sowie für das Anlegen von Tasks mit ungewöhnlichen Trigger-Intervallen erhöhen die Entdeckungswahrscheinlichkeit erheblich. Das anomale User-Agent-Muster „A WinHTTP Example Program/1.0" ist ein direkt verwertbarer Indikator für MuddyViper-C2-Kommunikation.
Hinweis
Dieser Report ist der vierte in der CTI-Serie zu iranischen APT-Akteuren. Unser Auftakt-Report vom 5. Mai 2026 führte Educated Manticore als IRGC-IO-affiliierten Cluster mit Social-Engineering-Schwerpunkt ein und grenzte ihn von den MOIS-assoziierten Gruppen ab.