¿Quién es MuddyWater?

MuddyWater (Mercury/Mango Sandstorm/Static Kitten/TEMP.Zagros) es un grupo APT atribuido al MOIS (Ministerio de Inteligencia y Seguridad de Irán). Activo desde 2017, se especializa en espionaje contra gobiernos, telecomunicaciones y sector energético en Oriente Medio, Turquía y Sudasia.

¿Qué herramientas usa MuddyWater?

Evolución constante: POWERSTATS (PowerShell backdoor original), MuddyC2Go (C2 en Go, 2023+), PhonyC2 (Python C2), SimpleHarm, MuddyC3. También usa herramientas legítimas como Atera, ScreenConnect y SimpleHelp para acceso remoto.

¿Cómo detectar actividad de MuddyWater?

Indicadores clave: spearphishing con archivos macro Office, uso masivo de PowerShell ofuscado, side-loading de DLLs, túneles DNS para exfiltración, y abuso de herramientas de administración remota legítimas (RMM tools).

IntermedioMuddyWaterIránMOISespionajethreat actor

MuddyWater: Espionaje y Acceso Inicial del MOIS Iraní

Perfil técnico de MuddyWater (Mercury/Mango Sandstorm/Static Kitten): unidad del MOIS iraní especializada en espionaje contra Oriente Medio, Turquía y Sudasia. Herramientas (MuddyC2Go, PhonyC2, POWERSTATS), campañas y detección.

MalwareIntel Research·5 de junio de 2026·12 min lectura

Serie: APTs y Threat Actors — Parte 13

MuddyWater es el brazo de acceso inicial y espionaje del MOIS iraní, con foco en Oriente Medio, Turquía y el subcontinente indio

MuddyWater (Mercury/Mango Sandstorm/Static Kitten/TEMP.Zagros/Earth Vetala) es un grupo APT subordinado al Ministerio de Inteligencia y Seguridad de Irán (MOIS). Identificado por primera vez en 2017, opera como unidad de acceso inicial y espionaje a largo plazo. Su perfil se distingue del resto de actores iraníes por una evolución técnica constante: cada 12-18 meses rotan herramientas C2, migran lenguajes de programación y adaptan sus vectores de entrega. En enero de 2022, US Cyber Command confirmó públicamente la atribución al MOIS, diferenciándolo del IRGC (responsable de grupos como APT33/Elfin y APT35/Charming Kitten).

Ficha del grupo

Campo	Detalle
MITRE ID	G0069
Nombres	Mercury, Mango Sandstorm, Static Kitten, TEMP.Zagros, Earth Vetala, Seedworm, COBALT ULSTER
Atribución	MOIS (Ministerio de Inteligencia y Seguridad de Irán)
País	Irán
Motivación	Espionaje gubernamental, militar y de telecomunicaciones
Activo desde	2017
Nivel	Tier 3: herramientas custom, iteración rápida, buen OPSEC operacional
Sectores	Gobierno, telecomunicaciones, energía, defensa, educación, medios
Regiones	Oriente Medio, Turquía, Pakistán, India, Afganistán, Asia Central, Europa, Norteamérica

Aliases y atribución

MuddyWater recibe nombres diferentes según el vendor de threat intelligence:

Microsoft:      Mercury → Mango Sandstorm (renaming 2023)
CrowdStrike:    Static Kitten
Mandiant:       TEMP.Zagros → UNC1151 (parcial overlap)
Symantec:       Seedworm
Secureworks:    COBALT ULSTER
Trend Micro:    Earth Vetala
MITRE ATT&CK:  G0069 MuddyWater

La atribución al MOIS fue confirmada por US Cyber Command (USCYBERCOM) en enero de 2022, con publicación de muestras de malware en VirusTotal. El MOIS es la agencia de inteligencia civil de Irán, distinta del IRGC (cuerpo militar). Esta distinción es relevante porque el MOIS opera con objetivos de inteligencia estratégica a largo plazo, mientras que los grupos IRGC tienden a operaciones más agresivas y destructivas.

El grupo opera como proveedor de acceso inicial para otras unidades del MOIS. Tras establecer persistencia, frecuentemente transfiere el acceso a otros equipos para explotación posterior (espionaje de largo plazo, exfiltración selectiva).

Herramientas y arsenal

MuddyWater destaca por la rotación constante de herramientas. Su arsenal ha pasado por al menos cuatro generaciones de frameworks C2 propios, además de adoptar herramientas legítimas de administración remota.

Herramientas custom

Herramienta	Tipo	Lenguaje	Período	Nota
POWERSTATS	Backdoor/C2	PowerShell	2017-2020	Primera herramienta identificada. Comunicación HTTP con C2. Extensamente documentado
MuddyC3	C2 framework	Python	2019-2021	Framework C2 con interfaz web. Gestión de agentes PowerShell
PhonyC2	C2 framework	Python	2021-2023	Sucesor de MuddyC3. Descubierto por Deep Instinct. Panel web con generación de payloads
MuddyC2Go	C2 framework	Go	2023+	Última generación. Migración de Python a Go para evasión. Binarios compilados
SimpleHarm	Backdoor	.NET	2022+	Backdoor ligero desplegado post-acceso inicial
BugSleep	Backdoor	C++	2024+	Backdoor custom con capacidades de download/upload y ejecución de comandos
POWGOOP	Loader/DLL	C/PowerShell	2020-2022	DLL side-loading para ejecutar payloads PowerShell
Small Sieve	Backdoor	Python	2021-2022	Telegram bot como canal C2. Distribución via instaladores maliciosos

Herramientas legítimas abusadas (Living off the Land)

Herramienta	Propósito legítimo	Uso por MuddyWater
Atera	RMM (Remote Monitoring & Management)	Acceso remoto persistente post-compromiso
ScreenConnect (ConnectWise)	Soporte remoto	C2 alternativo, difícil de distinguir del tráfico legítimo
SimpleHelp	Soporte remoto	Acceso remoto en campañas 2023-2024
Syncro	RMM para MSPs	Acceso remoto en campañas selectas
N-able	Gestión de endpoints	Observado en campañas contra Turquía

El abuso de herramientas RMM es una marca distintiva de MuddyWater. Al utilizar software legítimo firmado por vendors conocidos, evitan detecciones basadas en reputación de binarios y complican el triaje de los equipos SOC, que deben distinguir entre uso legítimo e ilegítimo de estas herramientas.

Técnicas ATT&CK principales

Táctica	Técnica	ID	Uso por MuddyWater
Initial Access	Phishing: Spearphishing Attachment	T1566.001	Documentos Office con macros, archivos ZIP con LNK
Initial Access	Phishing: Spearphishing Link	T1566.002	Links a plataformas de compartición de archivos (Egnyte, OneHub, Sync.com)
Execution	PowerShell	T1059.001	POWERSTATS, scripts ofuscados en múltiples capas
Execution	Windows Command Shell	T1059.003	Ejecución de comandos de reconocimiento
Execution	Visual Basic	T1059.005	Macros en documentos Office para dropper inicial
Persistence	Scheduled Task/Job	T1053.005	Tareas programadas para persistencia de backdoors
Persistence	Registry Run Keys	T1547.001	Persistencia via claves de registro
Defense Evasion	Obfuscated Files or Information	T1027	PowerShell con múltiples capas de encoding (Base64, XOR, string reversal)
Defense Evasion	DLL Side-Loading	T1574.002	POWGOOP: DLLs maliciosas cargadas por ejecutables legítimos
Defense Evasion	Remote Access Software	T1219	Atera, ScreenConnect, SimpleHelp como C2 legítimo
Credential Access	OS Credential Dumping	T1003	Volcado de credenciales post-acceso
Discovery	System Information Discovery	T1082	Reconocimiento del sistema comprometido
Lateral Movement	Remote Services: SMB	T1021.002	Movimiento lateral via SMB con credenciales obtenidas
Command and Control	Application Layer Protocol	T1071	C2 sobre HTTP/HTTPS
Command and Control	DNS	T1071.004	Túneles DNS para exfiltración y C2 en entornos restringidos
Exfiltration	Exfiltration Over C2 Channel	T1041	Exfiltración por el canal C2 establecido

Campañas documentadas

Campañas iniciales contra Arabia Saudí y otros países del Golfo (2017-2018)

Las primeras operaciones identificadas de MuddyWater utilizaron documentos Word con macros que desplegaban POWERSTATS. Los targets fueron entidades gubernamentales y de telecomunicaciones en Arabia Saudí, Iraq, Jordania y Emiratos Árabes. Los documentos señuelo imitaban comunicaciones oficiales gubernamentales con contenido en árabe.

Operaciones contra Turquía (2018-2022)

MuddyWater ha mantenido una campaña sostenida contra organizaciones turcas, incluyendo entidades gubernamentales, sector de defensa y telecomunicaciones. En 2022, se documentaron campañas que utilizaban documentos PDF con links a archivos alojados en plataformas de compartición como Egnyte. Los señuelos simulaban comunicaciones del Ministerio del Interior turco.

Campañas contra Israel (2022-2024)

Tras las tensiones geopolíticas, MuddyWater intensificó operaciones contra Israel. En 2022, se documentaron campañas de phishing dirigidas a entidades de seguros, gobierno local y tecnología israelíes. Utilizaron links a archivos ZIP alojados en servicios legítimos de cloud storage que contenían instaladores de herramientas RMM (ScreenConnect, Atera) preconfiguradas para conectar al C2 del atacante.

Campañas contra sector educativo y gobierno en Egipto, Jordania y Bahréin (2023)

Operaciones documentadas por Cisco Talos y Deep Instinct contra universidades y agencias gubernamentales. Uso de PhonyC2 como infraestructura de comando y control, con documentos señuelo relacionados con becas universitarias y programas de cooperación gubernamental.

Campaña con MuddyC2Go (2023-2024)

Documentada por Deep Instinct, esta campaña marcó la transición del framework C2 de Python a Go. Los nuevos binarios compilados en Go dificultaron la detección por firmas existentes. Los targets incluyeron organizaciones en Oriente Medio y el subcontinente indio, con foco en telecomunicaciones y gobierno.

Campaña BugSleep (2024)

Check Point Research documentó el despliegue de un nuevo backdoor custom denominado BugSleep. Distribuido mediante spearphishing con links a archivos alojados en Egnyte, dirigido contra gobiernos, aerolíneas y medios de comunicación en Arabia Saudí, Turquía, Azerbaiyán e India. BugSleep representó un cambio parcial respecto al uso exclusivo de herramientas RMM legítimas, sugiriendo que el grupo busca capacidades custom cuando las herramientas comerciales no cubren requerimientos operacionales específicos.

Infraestructura C2

La infraestructura de MuddyWater sigue patrones identificables:

PATRÓN DE INFRAESTRUCTURA C2:
  - Servidores VPS en proveedores de hosting comerciales (OVH, DigitalOcean, Hetzner)
  - Dominios registrados con datos falsos o servicios de privacidad WHOIS
  - Certificados TLS gratuitos (Let's Encrypt) en dominios de corta duración
  - Rotación frecuente: dominios activos típicamente 2-4 semanas
  - Múltiples dominios apuntando a la misma IP (clustering)

CANALES C2 OBSERVADOS:
  1. HTTP/HTTPS directo (POWERSTATS, PhonyC2, MuddyC2Go)
  2. DNS tunneling (entornos con filtrado HTTP estricto)
  3. Telegram Bot API (Small Sieve, 2021-2022)
  4. Plataformas RMM legítimas (Atera, ScreenConnect, SimpleHelp)
  5. Plataformas de compartición de archivos (Egnyte, OneHub, Sync.com)

DIFERENCIADOR:
  El uso de plataformas RMM como C2 implica que el tráfico sale
  por puertos estándar (443) hacia dominios con buena reputación,
  lo que complica la detección basada en blocklists de IPs/dominios.

Detección y caza

Indicadores de compromiso (defensa)

SPEARPHISHING:
  - Documentos Office con macros que ejecutan PowerShell
  - Archivos ZIP/RAR con LNK files que invocan PowerShell o CMD
  - Links a Egnyte, OneHub, Sync.com con archivos ejecutables o MSI
  - Instaladores MSI de herramientas RMM (Atera, ScreenConnect, SimpleHelp)
    con configuraciones preestablecidas apuntando a tenant del atacante

EJECUCIÓN Y PERSISTENCIA:
  - PowerShell con encoding Base64 en múltiples capas
  - Tareas programadas con nombres que imitan servicios de Windows
  - DLL side-loading en directorios de aplicaciones legítimas
  - Claves de registro en HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Reglas de detección

SIGMA / SIEM:
  - Ejecución de PowerShell con -EncodedCommand desde procesos Office
    (winword.exe, excel.exe → powershell.exe)
  - Instalación de agentes RMM (atera*.msi, screenconnect*.exe)
    sin ticket de soporte asociado
  - Conexiones a dominios de RMM vendors desde endpoints
    que no tienen RMM autorizado
  - Creación de tareas programadas via schtasks.exe
    con acciones PowerShell ofuscadas
  - DNS queries anómalos: subdominios con alta entropía o longitud > 50 chars
  - DLL cargada desde %TEMP% o %APPDATA% por ejecutable legítimo firmado

YARA (indicadores genéricos):
  - Strings: "POWERSTATS", "MuddyC2", "$s1 = {base64_decode}" en PowerShell
  - Patrones de ofuscación: múltiples capas de [System.Convert]::FromBase64String
  - User-Agent strings hardcodeados en HTTP requests del implant

Hunting queries

HYPOTHESIS: MuddyWater RMM abuse en la red

  1. Buscar instalaciones de Atera, ScreenConnect, SimpleHelp, Syncro
     en los últimos 30 días
  2. Cruzar con tickets de soporte IT (las instalaciones legítimas
     tienen ticket asociado)
  3. Instalaciones sin ticket → investigar: quién instaló, desde qué
     ruta, qué conexiones C2 hace el agente
  4. Verificar el tenant ID / company ID en la configuración del agente
     RMM: ¿pertenece a la organización?

HYPOTHESIS: MuddyWater PowerShell staging

  1. Buscar ejecuciones de PowerShell con -EncodedCommand
  2. Decodificar el payload Base64
  3. Si contiene otra capa de encoding → alta sospecha
  4. Buscar conexiones HTTP/DNS desde el mismo endpoint
     en los 30 minutos posteriores

Relación con otros actores iraníes

El ecosistema de threat actors iraníes incluye múltiples grupos con misiones distintas. Entender la diferencia es clave para atribución:

Grupo	Agencia	Misión	Diferencia con MuddyWater
APT33 / Elfin / Refined Kitten	IRGC	Espionaje industrial (aviación, energía)	Foco en sector privado occidental, más destructivo
APT35 / Charming Kitten / Phosphorus	IRGC	Espionaje político, dissidents, periodistas	Targets individuales, credential harvesting similar a Kimsuky
APT34 / OilRig / Helix Kitten	MOIS	Espionaje gubernamental, Oriente Medio	Misma agencia (MOIS), pero diferente unidad operativa. APT34 es más antiguo (2014+)
APT42 / Calanque	IRGC-IO	Vigilancia de dissidentes y activistas	Foco en iranies en diáspora, periodistas, activistas DDHH
Moses Staff / Abraham's Ax	MOIS (probable)	Hacktivismo y operaciones de información	Operaciones destructivas y de influencia, no espionaje

MuddyWater y APT34 (OilRig) son los dos grupos principales del MOIS. Aunque comparten agencia, operan como unidades independientes con infraestructura, herramientas y targets diferenciados. En algunos casos documentados por Symantec, se ha observado acceso compartido a víctimas entre ambos grupos, sugiriendo coordinación a nivel del MOIS.

Estado actual y evolución

MuddyWater continúa activo en 2024-2026 con tendencias claras:

Evolución técnica:

Migración progresiva de PowerShell puro a binarios compilados (Go, C++).
Adopción de herramientas RMM legítimas como canal C2 principal, reduciendo la dependencia de infraestructura C2 propia.
Desarrollo de backdoors custom (BugSleep) para operaciones que requieren capacidades específicas no cubiertas por herramientas comerciales.
Reducción del uso de macros Office tras las restricciones de Microsoft (desactivación de macros por defecto en documentos descargados de Internet, 2022).

Evolución operacional:

Expansión geográfica: además de Oriente Medio, se documentan operaciones en Europa, particularmente contra organizaciones con intereses en la región.
Mayor coordinación con otras unidades MOIS para explotación post-acceso.
Uso de plataformas de compartición de archivos legítimas (Egnyte, OneHub) como vector de distribución, reemplazando parcialmente los adjuntos de email directos.

Para equipos de defensa:

Monitorizar instalaciones no autorizadas de herramientas RMM.
Implementar políticas de ejecución de PowerShell restrictivas (Constrained Language Mode, transcription logging).
Bloquear o monitorizar accesos a plataformas de compartición de archivos no aprobadas.
Mantener reglas de detección actualizadas para las últimas variantes de sus herramientas C2.

Recursos y referencias

MITRE ATT&CK: MuddyWater (G0069)
US Cyber Command: "MuddyWater MOIS Attribution" (enero 2022)
CISA: "Iranian Government-Sponsored APT Actors (MuddyWater)" AA22-055A (2022)
Deep Instinct: "PhonyC2: Revealing a Previously Unknown MuddyWater C2 Framework" (2023)
Deep Instinct: "MuddyC2Go: MuddyWater's Latest C2 Framework" (2023)
Check Point Research: "MuddyWater Campaign Using BugSleep" (2024)
Cisco Talos: "MuddyWater targets Middle Eastern and Central Asian entities" (2023)
Microsoft Threat Intelligence: "Mango Sandstorm" threat profile
Symantec: "Seedworm: Group Compromises Government Agencies" (2018, 2022)
Trend Micro: "Earth Vetala campaign analysis" (2021)
Mandiant: "TEMP.Zagros" threat profile
Secureworks: "COBALT ULSTER Threat Profile"