Group-IB beschreibt drei Varianten der Angriffsabfolge, die die als Advanced Persistent Threat eingestufte Gruppe gegen unterschiedliche Ziele einsetzte. Alle beginnen mit einer gezielten Spear-Phishing-E-Mail, die ein Microsoft-Dokument mit schädlichen Makros enthält. Diese Makros entschlüsseln die Schadsoftware, legen sie im System ab und führen sie aus, wodurch MuddyWater letztlich die Kontrolle über das System des Opfers erlangt.
Die erste Variante nutzte ein präpariertes Microsoft-Excel-Dokument, das ein Energie- und Marineservice-Unternehmen aus dem Nahen Osten imitierte — vermutlich gegen das Unternehmen selbst oder dessen Auftragnehmer gerichtet. Sie führte zum Einsatz der Char-Backdoor, einer in Rust geschriebenen Hintertür, die über einen Telegram-Bot gesteuert wird. Laut den Forschern stellt diese Nutzung von Telegram einen taktischen Wandel für die Gruppe dar.
Char zeigte zudem Anzeichen KI-gestützter Entwicklung: In einem der Befehlsverarbeiter fanden die Forscher “Debug-Strings mit Emojis — ein Merkmal, das in von Menschen geschriebenem Code selten vorkommt”. Group-IB beobachtete vier Fälle dieser Auffälligkeit und schließt daraus, dass die Angreifer wahrscheinlich ein KI-Modell zur Erzeugung bestimmter Codeabschnitte einsetzten und die Debug-Strings vor dem Kompilieren nicht bereinigten; dies zeige sich auch in den Protokollen des Telegram-Bots.
Die zweite Variante nutzte einen ähnlichen Köder, setzte jedoch statt Char den Downloader GhostFetch ein. Dieser lud anschließend die neuartige GhostBackDoor nach, eine fortgeschrittene Hintertür, die ihre Installation an die Rechte der Umgebung anpasst.
Die dritte Variante verwendete ein Microsoft-Word-Dokument mit verschiedenen Themen wie Flugtickets und Berichten und richtete sich laut Group-IB gegen “Personen von Interesse und Systemintegratoren im Nahen Osten”. Sie führt zum Einsatz eines neuen Downloaders namens HTTP_VIP, der daraufhin die Fernwartungssoftware Anydesk installiert, um das Zielsystem zu übernehmen. HTTP_VIP beschreibt Group-IB als nativen Downloader, der als Brücke für weitere Angriffsschritte dient; seine “hochselektive” Ausführung umfasst eine Systemerkundung, prüft auf eine fest einprogrammierte Domäne und bricht ab, wenn das System zu dieser gehört, und führt eine C2-Authentifizierung durch.
MuddyWater — auch bekannt als TA450, Helix Kitten, Seedworm und unter weiteren Namen — gehört zu Irans aktivsten und bekanntesten APT-Gruppen und ist seit etwa 2017 aktiv. Bei den jüngsten Angriffen verfeinert die Gruppe ihre zuvor eher ungeschickten Methoden. Bereits Ende des vergangenen Jahres zeigte sie laut ESET ein verdecktereres Vorgehen, darunter reine Arbeitsspeicher-Lader, eigene Backdoors sowie Techniken zur Tarnung und Persistenz — eine deutliche Weiterentwicklung gegenüber dem historisch “lauteren” Stil.
Group-IB sieht in der fortgesetzten Nutzung von KI, der laufenden Entwicklung eigener Schadsoftware und Werkzeuge sowie diversifizierter C2-Infrastrukturen ein Zeichen dafür, dass die Gruppe ihre Operationen ausweiten will. Zur Verteidigung verweist das Unternehmen auf die im Bericht enthaltenen Indikatoren für Kompromittierungen (IoCs), YARA- und EDR-Regeln und empfiehlt unter anderem stärkere E-Mail- und Phishing-Abwehr sowie Endpunkt- und Zugriffskontrollen.
