Irańska grupa MuddyWater atakuje ponad 100 instytucji rządowych kampanią z backdoorem Phoenix v4 - Security Bez Tabu

Irańska grupa MuddyWater atakuje ponad 100 instytucji rządowych kampanią z backdoorem Phoenix v4

Wprowadzenie do problemu / definicja luki

Państwowo wspierana irańska grupa MuddyWater (znana również jako Static Kitten, Mercury/Mango Sandstorm, Seedworm) przeprowadziła od 19 sierpnia ukierunkowaną kampanię spear-phishingową na rzecz cyber-szpiegostwa przeciwko ponad 100 podmiotom rządowym w regionie MENA. Ataki dostarczały wersję 4 backdoora Phoenix, nowy wariant własnego implantu tej grupy. Wiadomości wysyłano z przejętej skrzynki pocztowej obsługiwanej przez usługę NordVPN, co zwiększało wiarygodność korespondencji. Cele obejmowały m.in. ambasady, misje dyplomatyczne, ministerstwa spraw zagranicznych i konsulaty. Kampanię opisali badacze Group-IB, a szczegóły potwierdziły niezależne redakcje bezpieczeństwa.

W skrócie

  • Skala: >100 instytucji rządowych w MENA (gł. placówki dyplomatyczne).
  • Wejście: spear-phishing z przejętego mailboxa, dostęp przez NordVPN.
  • Nośnik: dokumenty Microsoft Word z makrami VBA wymuszające „Enable Content”.
  • Łańcuch: VBA → loader FakeUpdate (AES) → Phoenix v4 w C:\ProgramData\sysprocupdate.exe z trwałością przez rejestr i mechanizmy COM.
  • Możliwości Phoenix v4: rozpoznanie hosta, łączność WinHTTP z C2, interaktywny shell, upload/download plików, zmiana interwału beaconingu.
  • Dodatkowe narzędzia: niestandardowy stealer przeglądarek (Chromium/Brave/Chrome/Edge/Opera), a także PDQ i Action1 RMM na infrastrukturze C2.

Kontekst / historia / powiązania

MuddyWater to grupa APT przypisywana irańskiemu MOIS (Ministerstwo Wywiadu i Bezpieczeństwa) i aktywna co najmniej od 2017 r., konsekwentnie atakująca instytucje rządowe, telekomy i sektor energetyczny w wielu regionach. Jej taktyki obejmują phishing, nadużywanie legalnych narzędzi administracyjnych i stałą ewolucję własnego malware. Globalne organy (NSA/CISA/FBI/DC3) w 2025 r. ostrzegały przed wzmożoną aktywnością irańskich aktorów wobec sieci rządowych i infrastruktury krytycznej.

Analiza techniczna / szczegóły luki

Wejście i inicjalny wektor. Atak rozpoczynał się od e-maili z rozmytym dokumentem Word i instrukcją włączenia makr. Po zezwoleniu VBA dekodował i zapisywał loader FakeUpdate, który odszyfrowywał (AES) osadzony ładunek Phoenix v4 i uruchamiał go (code injection we własny proces). Dostęp do przejętego mailboxa realizowano przez NordVPN, co utrudniało szybkie powiązanie aktywności ze znanymi adresami.

Instalacja i trwałość. Phoenix v4 zapisywany był jako
C:\ProgramData\sysprocupdate.exe, tworzył mutex, a następnie utrwalał się przez modyfikacje rejestru (konfiguracje dla bieżącego użytkownika) oraz dodatkowy mechanizm COM-based persistence (nowość vs. v3).

Komunikacja i polecenia. Implant profiluje host (nazwa komputera, domena, wersja Windows, użytkownik), nawiązuje łączność z C2 przez WinHTTP i okresowo odpytuje o polecenia. Zidentyfikowano m.in. komendy: 65 – Sleep, 68 – Upload, 85 – Download, 67 – Start shell, 83 – Update sleep interval.

Infrastruktura i narzędzia towarzyszące. Na C2 (m.in. adres z klasy 159.198.36[.]115) badacze znaleźli PDQ (dystrybucja oprogramowania), Action1 RMM oraz custom stealer przeglądarek Chromium (kradzież bazy logowań i master key do deszyfracji). To typowy dla MuddyWater miks własnego kodu i legalnych narzędzi w celu skrytości i utrzymania dostępu.

Zmiana TTP względem ostatnich kampanii. Ciekawym zwrotem jest powrót do makr Office – techniki popularnej kilka lat temu, ograniczonej po domyślnym wyłączeniu makr przez Microsoft. W przeszłości MuddyWater wykorzystywał m.in. ClickFix i inne wektory socjotechniczne.

Praktyczne konsekwencje / ryzyko

  • Ryzyko strategiczne: Dostęp do skrzynek dyplomatycznych i stacji roboczych w MSZ/ambasadach umożliwia kradzież korespondencji, dokumentów i danych uwierzytelniających, a także ruch boczny do sieci wewnętrznych.
  • Ryzyko operacyjne: Wykorzystanie RMM (PDQ/Action1) i niestandardowych stealerów ułatwia utrzymanie długotrwałej obecności i zacieranie śladów wśród legalnych operacji IT.
  • Ryzyko reputacyjne i dyplomatyczne: Ujawnienia mogą prowadzić do kryzysów komunikacyjnych i eskalacji napięć w relacjach między państwami. (Wniosek na bazie profilu celów i wcześniejszych ostrzeżeń o aktywności irańskich APT.)

Rekomendacje operacyjne / co zrobić teraz

  1. Twarde zasady dla makr Office: globalnie blokuj VBA dla dokumentów z internetu; zezwalaj tylko na podpisane, zaufane źródła (GPO/Intune). Monitoruj zdarzenia uruchamiania makr i nietypowe zapisy do %ProgramData%.
  2. EDR/XDR & reguły behawioralne: wykrywaj WinHTTP beaconing, modyfikacje rejestru dla shell/restartu powłoki i proces injection FakeUpdate → Phoenix. Dodaj reguły na ścieżkę C:\ProgramData\sysprocupdate.exe.
  3. Poczta i tożsamość: wymuś MFA, chroń dostęp do skrzynek (zwłaszcza kont wspólnych), stosuj detekcję anomalii logowania (VPN, geo, user-agent) i DMARC/DKIM/SPF. Zwróć uwagę na przejęte skrzynki wykorzystywane przez VPN komercyjny.
  4. Filtrowanie załączników i sandboxing: izoluj dokumenty Office z makrami, stosuj detonację i reguły blokujące „Enable Content” lures.
  5. Zarządzanie przeglądarkami i sekretami: twarde polityki Login Data i Local State (Chromium), ochrona master key DPAPI, detekcja dostępu do baz przeglądarkowych poza procesami browsera.
  6. Higiena RMM: inwentaryzacja i allowlist PDQ/Action1; blokuj „shadow IT” RMM; alarmuj na nowe instalacje agentów.
  7. Hunt & Threat Intel: poluj proaktywnie na artefakty Phoenix/FakeUpdate i wskaźniki C2; śledź biuletyny NSA/CISA dotyczące irańskich aktorów i ich TTP.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • MuddyWater vs. Peach/Kitten rodziny: W odróżnieniu od Peach Sandstorm (APT33), który ostatnio rozwijał złożony backdoor „Tickler”, MuddyWater w tej kampanii łączy lekki implant Phoenix v4 z makrami i legalnymi RMM – nacisk na prostotę wejścia i długotrwałe utrzymanie.
  • Powrót do makr kontra nowsze łańcuchy (np. ClickFix): bieżąca fala pokazuje, że nawet „stare” techniki wracają, jeśli zwiększają współczynnik sukcesu na celach urzędowych.

Podsumowanie / kluczowe wnioski

  • Kampania MuddyWater od 19–24 sierpnia szybko dostarczyła Phoenix v4 do >100 odbiorców w administracji publicznej MENA, następnie przeszła do kolejnego etapu (wyłączenie serwera i komponentu C2 24 sierpnia – prawdopodobnie pivot do innych narzędzi).
  • Miks socjotechniki, przejętych skrzynek, makr i RMM pozostaje skuteczny w środowiskach urzędowych.
  • Obrona wymaga kombinacji: polityk makr/MFA, telemetrii EDR, huntingu TTP, oraz kontroli RMM i przepływów pocztowych zgodnych z DMARC/DKIM/SPF.

Źródła / bibliografia

  • BleepingComputer: „Iranian hackers targeted over 100 govt orgs with Phoenix backdoor” (22 października 2025). (BleepingComputer)
  • The Hacker News: „Iran-Linked MuddyWater Targets 100+ Organisations in Global Espionage Campaign” (22 października 2025). (The Hacker News)
  • Dark Reading: „MuddyWater Targets 100+ Gov Entities in MEA With Phoenix Backdoor” (22 października 2025). (Dark Reading)
  • MITRE ATT&CK – G0069 MuddyWater (profil grupy). (MITRE ATT&CK)
  • NSA/CISA/FBI/DC3: „Iranian Cyber Actors May Target Vulnerable U.S. Networks and Entities of Interest” (30 czerwca 2025). (nsa.gov)