JETZT VERÖFFENTLICHT

Von Clawdbot zu OpenClaw: Automatisierung als digitale Hintertür. Blog lesen →

Plattform

Die NDR-Plattform, die moderne Netzwerke vor modernen Angriffen schützt.

Präventiver Schutz

Proaktive Erkennung und Reaktion

Statten Sie Ihre Sicherheitsanalysten mit Informationen aus, um Angriffe schnell zu stoppen. Attack Signal Intelligence analysiert in Echtzeit und zeigt, wo Sie gerade gefährdet sind.

SOC-Modernisierung

Cyber-Resilienz

Risikomanagement

Erfahren Sie, wie moderne Angreifer Lücken in Ihrer Verteidigung ausnutzen und was Sie tun können, um sie zu stoppen.

Angreifer-Fortschritt stoppen

Durchsetzung von Eindämmungsmaßnahmen für Identitäten, Geräte und Netzwerkverkehr mit 360 Response.

Mehr erfahren

Cybersecurity-Dashboard von Vectra AI , das eine Erkennungsuntersuchung mit Details zum Angriffsprofil, Bewertungsfaktoren und einem Netzwerkdiagramm verdächtiger Aktivitäten Vectra AI .

Vergleichen Sie die Vectra AI mit anderen Tools

EDR-, SIEM-, SASE-, SSE- und native cloud lassen Lücken offen, die moderne Angreifer ausnutzen. Die Vectra AI schließt diese Lücken.

Mehr erfahren

Kunden

Stützpunkt

Professionelle Dienstleistungen

Vectra AI wird im Gartner® Magic Quadrant™ für NDR als Leader für 2025 eingestuft

NDR ist nicht mehr optional - es ist ein Muss, um moderne Angriffe abzuwehren. Erfahren Sie, warum Gartner Vectra AI AI als führendes Unternehmen in Bezug auf die Vision und die Fähigkeit zur Umsetzung anerkannt hat.

Herunterladen

Kunden-Login

Forschung & Einblicke

Expertenwissen von unseren Datenwissenschaftlern, Sicherheitsforschern und Ingenieuren, um Ihr Lernen zu unterstützen.

Expertenwissen über neue Bedrohungen und Schutzmaßnahmen

Erhalten Sie KI-Einsichten für eine intelligentere Erkennung von Bedrohungen

Bedrohungsbulletins und Briefings zur proaktiven Verteidigung

Schließen Sie sich unseren Sicherheitsforschern, Datenwissenschaftlern und Analysten an, wenn wir mehr als 11 Jahre Forschung und Fachwissen im Bereich der künstlichen Intelligenz mit der globalen Cybersicherheitsgemeinschaft teilen.

Ressourcen

Aktuelle Nachrichten und Expertenwissen.

Blue Team Workshops, On-Demand-Webinare und globale Veranstaltungen in Ihrer Nähe.

Forschungsberichte, Angriffsanatomien, Weißbücher, Leitfäden, Datenblätter und Kundenberichte.

Detaillierte Erklärungen zu den wichtigsten aktuellen Cybersicherheitsproblemen, Angreifertechniken und Abhilfestrategien.

Demo-Videos & Touren

Sehen Sie die Vectra AI Plattform in Aktion.

Sehen Sie, wie Sie mit dem integrierten Signal von Vectra AI ausgeklügelte Angriffe erkennen und abwehren können, die andere Technologien übersehen.

Machen Sie die interaktive Tour

Unternehmen

Sehen Sie, warum wir der weltweit führende Anbieter von KI-Sicherheit sind

Fordern Sie ein Gespräch mit einem Vectra AI Sicherheitsexperten an.

Implementierungsleitfäden, Wissensdatenbank, Versionshinweise und Sicherheitsankündigungen

Expertenwissen von Sicherheitsforschern, Datenwissenschaftlern und Ingenieuren

Eilmeldung von Vectra AI

Pressematerialien, Biografien der Führungskräfte, Logos und Produktbilder für Medienzwecke

Werden Sie Teil des Teams, das hinter der weltweit ersten KI-basierten Cybersicherheitsplattform steht

Hands typing on a laptop keyboard with digital icons including a clock, globe, chat bubble, skull, email, and phone floating above.

Jenseits von Konfigurationsperfektion: Die Neudefinition von 'Cloud '

Es reicht nicht aus, Fehlkonfigurationen zu beheben. Wenn Sie sich zu sehr auf Perfektion konzentrieren, können blinde Flecken entstehen. Entdecken Sie einen intelligenten, ganzheitlichen Ansatz für die cloud .

MuddyWater

MuddyWater is an Iranian state-sponsored cyber espionage group linked to the Ministry of Intelligence and Security (MOIS) that conducts global intelligence collection through spear-phishing, vulnerability exploitation, and increasingly sophisticated custom command-and-control infrastructure.

MuddyWaters TTPs aufspüren

Ist Ihr Unternehmen vor den Angriffen von MuddyWater sicher?

Hintergrund und Ziele

TTPs

MITRE Kartierung

Erkennung

Häufig gestellte Fragen

Der Ursprung von MuddyWater

MuddyWater, also tracked as STATIC KITTEN, Earth Vetala, Seedworm, TA450, MERCURY, and Mango Sandstorm, is a cyber espionage group assessed to operate under Iran’s Ministry of Intelligence and Security (MOIS). Active since at least 2017, the group conducts intelligence collection operations against government, academic, defense, telecommunications, and energy organizations worldwide.

Recent research in 2026 revealed operational infrastructure belonging to MuddyWater hosted on a Netherlands-based VPS, which exposed extensive operational artifacts including command-and-control (C2) frameworks, scripts, victim data, and operational logs. Analysis of this infrastructure confirmed that MuddyWater operates multiple internally developed C2 frameworks and leverages a wide ecosystem of open-source tools to support reconnaissance, exploitation, and data exfiltration operations.

The group demonstrates a hybrid operational approach: combining custom-developed malware frameworks, public exploit code, and legitimate administrative tools to maintain access and evade detection. Recent campaigns also demonstrate experimentation with blockchain-based command-and-control mechanisms, highlighting MuddyWater’s evolving technical capabilities.

Zielländer

MuddyWater campaigns span multiple regions including the Middle East, Europe, North America, and Central Asia. Recent activity has targeted organizations in Israel, Jordan, Egypt, the United Arab Emirates, Portugal, and the United States, alongside historical operations against entities in Turkey, Iraq, Pakistan, Saudi Arabia, Germany, India, Afghanistan, and Armenia.

Zielgerichtete Industrien

MuddyWater targets organizations across numerous sectors including government, telecommunications, defense, academic institutions, aviation, healthcare, energy, financial services, NGOs, and technology companies. The group also targets critical infrastructure and organizations involved in immigration, intelligence, and identity systems, indicating a strong focus on intelligence collection.

Energy and Utilities

Financial Services and Banking

Pharmaceuticals and Medical Devices

Real Estate

Federal

Healthcare

Bekannte Opfer

Recent operations identified targets including:

Israeli healthcare organizations, hosting providers, and immigration-related services
Jordanian government webmail infrastructure
UAE engineering and energy companies
Egyptian aviation organizations, including EgyptAir
NGOs connected to Israeli and Jewish communities
A Portuguese government-related immigration system

The targeting aligns closely with Iranian intelligence priorities, including geopolitical, diplomatic, and regional strategic interests.

Angriffsmethode

MuddyWater's Angriffsmethode

Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.

MuddyWater gains access through spear-phishing emails, exploitation of public-facing applications, password spraying, and vulnerability exploitation. Recent campaigns leveraged vulnerabilities in Fortinet, Ivanti, Citrix, BeyondTrust, and SolarWinds N-Central, as well as SQL injection vulnerabilities in web applications.

Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.

The group frequently escalates privileges through techniques such as UAC bypass, exploitation of edge device vulnerabilities, and administrative account creation, including the creation of persistent FortiGate administrator accounts during exploitation.

Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.

Defense evasion includes code obfuscation, encrypted payloads, steganography, and masquerading as legitimate services. MuddyWater also hides C2 infrastructure behind compromised websites, proxy networks, and decentralized infrastructure such as blockchain-based C2 resolution.

Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.

Credential theft is performed using tools such as Mimikatz, LaZagne, Browser64, and password spraying attacks targeting Outlook Web Access and SMTP services.

Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.

Malware deployed by MuddyWater gathers system information, domain membership, running processes, security software presence, and network configuration to map the victim environment.

Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.

The group commonly leverages remote monitoring and management (RMM) tools such as ScreenConnect, Atera Agent, SimpleHelp, and Remote Utilities to move laterally across compromised environments.

Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.

Sensitive information is collected from compromised systems including documents, credential databases, screenshots, and locally stored files. In recent campaigns, data included passport scans, visa records, financial documents, and biometric system configurations.

Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.

Payload execution is typically performed using PowerShell, Windows Command Shell, JavaScript, Python, and Visual Basic scripts, often executed via legitimate system utilities such as mshta, rundll32, or CMSTP.

Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.

Data exfiltration occurs through several mechanisms including:

Custom C2 channels
Cloud storage platforms such as Wasabi S3 and put.io
Amazon EC2 servers
Lightweight HTTP file servers
Command-and-control channels using HTTP, DNS, and WebSockets

Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.

MuddyWater operations are primarily focused on covert intelligence gathering, with stolen data including government communications, personal identity documents, organizational records, and internal communications.

Erster Zugang

Rechte-Eskalation

Verteidigung Umgehung

Zugang zu Anmeldeinformationen

Credential theft is performed using tools such as Mimikatz, LaZagne, Browser64, and password spraying attacks targeting Outlook Web Access and SMTP services.

Entdeckung

Malware deployed by MuddyWater gathers system information, domain membership, running processes, security software presence, and network configuration to map the victim environment.

Seitliche Bewegung

Sammlung

Ausführung

Exfiltration

Data exfiltration occurs through several mechanisms including:

Custom C2 channels
Cloud storage platforms such as Wasabi S3 and put.io
Amazon EC2 servers
Lightweight HTTP file servers
Command-and-control channels using HTTP, DNS, and WebSockets

Auswirkungen

MITRE ATT&CK Kartierung

Von MuddyWater verwendete TTPs

TA0001: Initial Access

T1566

Phishing

T1190

Exploit Public-Facing Application

TA0002: Execution

T1203

Exploitation for Client Execution

T1059

Command and Scripting Interpreter

TA0003: Persistence

T1574

Hijack Execution Flow

T1053

Scheduled Task/Job

TA0004: Privilege Escalation

T1548

Abuse Elevation Control Mechanism

T1574

Hijack Execution Flow

T1053

Scheduled Task/Job

TA0005: Defense Evasion

T1548

Abuse Elevation Control Mechanism

T1036

Masquerading

T1027

Obfuscated Files or Information

T1574

Hijack Execution Flow

TA0006: Credential Access

T1555

Credentials from Password Stores

T1003

OS Credential Dumping

TA0007: Discovery

T1087

Account Discovery

TA0008: Lateral Movement

T1210

Exploitation of Remote Services

TA0009: Collection

T1113

Screen Capture

TA0011: Command and Control

T1071

Application Layer Protocol

TA0010: Exfiltration

No items found.

TA0040: Impact

No items found.

Plattform-Detektionen

Wie man mit Vectra AI AI Schlammwasser erkennt

Liste der in der Vectra AI verfügbaren Erkennungen, die auf einen APT-Angriff hindeuten würden.

‍

External Remote Access

Hidden DNS Tunnel

Suspicious Remote Execution

Weitere Entdeckungen anzeigen

Bewerten Sie Ihr Angriffsrisiko

Häufig gestellte Fragen

Wer steckt hinter MuddyWater?

MuddyWater wird dem iranischen Ministerium für Nachrichtenwesen und Sicherheit (MOIS) zugeschrieben.

Was sind die wichtigsten Angriffsvektoren von MuddyWater?

Sie verwenden phishing mit bösartigen Anhängen und Links und nutzen öffentlich zugängliche Sicherheitslücken aus.

Wie entgeht MuddyWater der Verteidigung?

Sie verwenden verschiedene Verschleierungsmethoden, legitime Tools, Steganografie und DLL-Side-Loading.

Welche malware sind mit MuddyWater verbunden?

POWERSTATS, NTSTATS, CloudSTATS, PowGoop, Blackwater, ForeLord, MoriAgent, und andere.

‍

Auf welche Branchen ist MuddyWater ausgerichtet?

Telekommunikation, Verteidigung, Hochschulen, Öl und Gas, Gesundheitswesen, Technologie, Nichtregierungsorganisationen und Regierungsbehörden.

Welche Tools können die Aktivitäten von MuddyWater aufdecken?

Unternehmen sollten fortschrittliche Network Detection and Response (NDR)-Lösungen wie Vectra AI nutzen .

Was können Unternehmen tun, um sich gegen MuddyWater-Angriffe zu schützen?

Unternehmen sollten umgehend Sicherheits-Patches installieren, die Benutzer über phishing aufklären, eine mehrstufige Authentifizierung durchsetzen und den Netzwerkverkehr und die Benutzeraktivitäten genau überwachen.

‍

Nutzt MuddyWater Schwachstellen aus?

Ja, sie nutzen Schwachstellen wie CVE-2020-0688 (Microsoft Exchange), CVE-2017-0199 (Office) und CVE-2020-1472 (Netlogon) aus.

Hat MuddyWater eine globale Reichweite?

Ja, MuddyWater ist zwar in erster Linie im Nahen Osten und in Asien tätig, zielt aber auf Unternehmen in der ganzen Welt, einschließlich Nordamerika und Europa.

Wie kann ein Unternehmen die Seitwärtsbewegung von MuddyWater erkennen?

Unternehmen können durch den Einsatz fortschrittlicher Network Detection and Response (NDR)-Lösungen wie Vectra AI die mit MuddyWater verbundenen Seitwärtsbewegungen effektiv erkennen. Vectra AI. Vectra AI nutzt künstliche Intelligenz und Algorithmen des maschinellen Lernens, um den Netzwerkverkehr kontinuierlich zu überwachen und anormale Verhaltensweisen wie die unerlaubte Nutzung von Fernzugriffstools, verdächtige interne Verbindungen und unerwartete Muster bei der Nutzung von Anmeldeinformationen schnell zu erkennen. Durch die Bereitstellung von Echtzeit-Transparenz und priorisierten Bedrohungswarnungen versetzt Vectra AI AI Sicherheitsteams in die Lage, Bedrohungen durch MuddyWater schnell zu erkennen und einzudämmen, bevor größerer Schaden entsteht.

MuddyWater

Der Ursprung von MuddyWater

Zielländer

Zielgerichtete Industrien

Energy and Utilities

Financial Services and Banking

Pharmaceuticals and Medical Devices

Real Estate

Federal

Healthcare

Bekannte Opfer

MuddyWater's Angriffsmethode

Von MuddyWater verwendete TTPs

Wie man mit Vectra AI AI Schlammwasser erkennt

External Remote Access

Hidden DNS Tunnel

Suspicious Remote Execution

Ist Ihr Unternehmen vor den Angriffen von MuddyWater sicher?

Häufig gestellte Fragen

Wer steckt hinter MuddyWater?

Was sind die wichtigsten Angriffsvektoren von MuddyWater?

Wie entgeht MuddyWater der Verteidigung?

Welche malware sind mit MuddyWater verbunden?

Auf welche Branchen ist MuddyWater ausgerichtet?

Welche Tools können die Aktivitäten von MuddyWater aufdecken?

Was können Unternehmen tun, um sich gegen MuddyWater-Angriffe zu schützen?

Nutzt MuddyWater Schwachstellen aus?

Hat MuddyWater eine globale Reichweite?

Wie kann ein Unternehmen die Seitwärtsbewegung von MuddyWater erkennen?