Aggiornamenti recenti Settembre 17th, 2025 4:45 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- MuddyWater si evolve: attacchi più sofisticati e infrastruttura più resiliente
- Un attacco supply chain ha compromesso oltre 40 pacchetti NPM
- TeamItaly, presentata la nuova squadra di giovani cyber defender
- CERT-AGID 6-12 settembre: i ransomware mostrano una nuova tattica di ingegneria sociale
- L’IA diventa arma e vittima per il cybercrimine: il report di Crowdstrike
MuddyWater si evolve: attacchi più sofisticati e infrastruttura più resiliente
La minaccia di MuddyWater non si arresta, anzi: negli ultimi mesi il gruppo ha eseguito attacchi sempre più sofisticati grazie al miglioramento della propria infrastruttura e a un arricchimento dei tool di attacco.
Secondo un recente report di Group-IB, il gruppo APT iraniano sarebbe passato da campagne su larga scala ad attacchi più mirati facendo leva sullo spearphishing e sulla distribuzione di malware custom.
Attivo dal 2017, il gruppo opera seguendo gli interessi del governo dell’Iran. Gli obiettivi di MuddyWater sono solitamente realtà di settori ad alto valore, quali le telecomunicazioni, il settore energetico, quello della difesa e le entità governative.
Nel corso degli anni il gruppo ha eseguito campagne molto generiche allo scopo di colpire più vittime possibili, per esempio pubblicizzando finti corsi online e webinar. Dall’inizio del 2025, invece, c’è stato un importante cambiamento di tattiche e il gruppo ha cominciato a realizzare attacchi altamente mirati e più difficili da contrastare.
MuddyWater investe su nuovi tool e migliora la propria architettura
Tra i malware e i tool più utilizzati dal gruppo negli ultimi mesi c’è BugSleep, una backdoor custom ormai trai cavalli di battaglia di MuddyWater. Esistono diverse varianti del malware, ognuna con sempre nuovi miglioramenti e fix, a indicazione del fatto che il gruppo sta lavorando al perfezionamento del proprio arsenale.
Un’altra backdoor molto usata dal gruppo è StealthCache. Si tratta di un malware con capacità più avanzate rispetto a BugSleep e una comunicazione col server C2 significativamente più estesa. Al contrario, Phoenix è una backdoor con funzionalità molto ridotte, ma comunque ampiamente usata da MuddyWater. Il gruppo utilizza diversi altri strumenti per le proprie campagne, alcuni dei quali sono progetti open-source.
Dal punto di vista dell’infrastruttura, il gruppo può contare su una rete molto robusta a supporto degli attacchi. Il team di Group-IB riporta che MuddyWater utilizza diverse tecnologie e si affida a vari provider sia per massimizzare la flessibilità operativa che per meglio eludere i controlli. “MuddyWater ha utilizzato una vasta gamma di provider di hosting, inclusi servizi di hosting cloud e bulletproof come BlueVPS, AS-COLOCROSSING, BLNWX, SEDO, HosterDaddy, Stark Industries, DIGITALOCEAN, Strato AG, AWS, OVH SAS, Scalaxy, M247 e Clouvider Limited. La natura eterogenea dell’infrastruttura di hosting rende difficile il rilevamento e l’attribuzione, poiché non esistono modelli o preferenze distinguibili” specificano i ricercatori.
La differenziazione dei toolkit e l’uso di un’architettura robusta rendono MuddyWater una delle minacce più significative del momento. Il gruppo è attivo soprattutto nel Medio-Oriente, ma negli ultimi tempi ha intensificato le proprie attività anche in Europa e negli Stati Uniti.
“Il costante perfezionamento degli strumenti, delle infrastrutture e delle tecniche, insieme ai metodi di contro-attribuzione, indica che MuddyWater rimarrà una minaccia persistente e in grado di adattarsi, soprattutto nelle regioni e nei settori legati agli interessi strategici iraniani” sottolinea Group-IB. Per questo è indispensabile investire su sistemi di protezione e rilevamento, applicare le best practice di sicurezza e formare il personale aziendale sulle minacce odierne.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
MuddyWater si evolve: attacchi più sofisticati e... La minaccia di MuddyWater non si arresta, anzi: negli... -
L’IA diventa arma e vittima per il cybercrimine: il... L’intelligenza artificiale diventa non solo... -
Report Acronis: il ransomware rimane la minaccia principale... Il ransomware continua a dilagare e rimane la minaccia... -
Migrazione a Windows 11: le aziende devono affrontare molte... Il prossimo 14 ottobre terminerà ufficialmente il supporto... -
IoT, i dispositivi connessi sono ancora troppo esposti alle... Il mondo dell’IoT rimane uno dei più esposti alle...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
MuddyWater si evolve: attacchi più sofisticati e... La minaccia di MuddyWater non si arresta, anzi: negli...
-
Un attacco supply chain ha compromesso oltre 40 pacchetti... I ricercatori della compagnia di sicurezza Socket hanno... -
TeamItaly, presentata la nuova squadra di giovani cyber... La nuova squadra italiana per le competizioni di... -
CERT-AGID 6-12 settembre: i ransomware mostrano una nuova... La scorsa settimana il CERT-AGID ha identificato e... -
L’IA diventa arma e vittima per il cybercrimine: il... L’intelligenza artificiale diventa non solo...
Ransomware: la serie
No posts found.