Nel teatro della guerra ibrida mediorientale, pochi attori hanno dimostrato una curva di apprendimento rapida quanto MuddyWater. Noto anche come Mango Sandstorm (nella tassonomia Microsoft) o Static Kitten, questo gruppo non è un semplice collettivo di hacktivisti, ma un braccio operativo subordinato al MOIS (Ministero dell’Intelligence e della Sicurezza dell’Iran).
Se fino a pochi anni fa le operazioni iraniane erano caratterizzate da un approccio “rumoroso” e distruttivo (si pensi agli attacchi wiper Shamoon), l’analisi recente delle TTP (Tattiche, Tecniche e Procedure) di MuddyWater rivela un cambio di paradigma dottrinale.
L’obiettivo non è più solo il sabotaggio, ma la creazione di una rete di sorveglianza persistente e modulare all’interno di infrastrutture critiche e militari occidentali e israeliane.
Dallo “Spray and Pray” all’accesso chirurgico
L’evoluzione più evidente è nella selezione dei bersagli e nella pazienza operativa. MuddyWater ha abbandonato le campagne di phishing massivo e indiscriminato per concentrarsi su campagne di spear-phishing altamente contestualizzate, spesso mirate a fornitori di servizi gestiti (MSP), enti governativi e settori della difesa.
Il passaggio logico è chiaro, compromettere un singolo MSP o un subappaltatore della difesa permette di “ereditare” l’accesso a reti militari segregate che sarebbero altrimenti inespugnabili dall’esterno.
Questa strategia riflette una maturazione nella dottrina cyber di Teheran: l’informazione è diventata più preziosa della distruzione immediata.
L’arsenale “Living off the Land”
Tecnicamente, MuddyWater si distingue per l’uso estensivo di strumenti LotL (Living off the Land). Invece di sviluppare malware proprietari complessi e facilmente rintracciabili, gli operatori sfruttano binari già presenti nei sistemi Windows (LOLBins) e script PowerShell offuscati.
Tuttavia, la vera novità risiede nella modularità dei framework di Comando e Controllo (C2).
- MuddyC2 e PhonyC2: Il gruppo utilizza framework personalizzati che permettono di cambiare rapidamente i payload finali senza dover ricostruire l’intera catena di attacco.
- Separazione dei compiti: L’infrastruttura di staging (compromissione iniziale) è spesso separata da quella operativa, rendendo l’attribuzione e la bonifica molto più complesse per i team di Incident Response.
Il tratto distintivo
Il tratto distintivo delle campagne recenti di MuddyWater è l’abuso sistematico di software legittimi di Remote Monitoring and Management (RMM). Strumenti come Atera, ScreenConnect, SimpleHelp o AnyDesk vengono distribuiti subito dopo l’accesso iniziale.
Gli strumenti RMM sono firmati digitalmente e spesso inseriti nelle whitelist degli antivirus aziendali ed anche se il malware iniziale viene rimosso, l’agente RMM rimane attivo, permettendo agli attaccanti di rientrare a piacimento. Nel traffico di rete di una grande organizzazione, la comunicazione di un software di assistenza remota appare spesso come “rumore di fondo” legittimo.
Una minaccia persistente avanzata
L’evoluzione di MuddyWater dimostra che le sanzioni e l’isolamento tecnologico non hanno fermato lo sviluppo delle capacità cyber dell’Iran. Al contrario, hanno spinto il MOIS verso soluzioni creative, asimmetriche ed economicamente efficienti. Per le strutture di difesa e le aziende strategiche, la lezione è chiara: la difesa perimetrale non basta più. La minaccia è modulare, vive negli strumenti legittimi e punta alla persistenza a lungo termine.
