بر اساس گزارش جدید Group-IB، گروه هکری MuddyWater که زیر نظر وزارت اطلاعات، فعالیت می‌کنه، استراتژی‌هاش رو در سال ۲۰۲۵ به طور قابل توجهی تغییر داده. این گروه دیگه مثل قبل از ابزارهای Remote Monitoring که قابل شناسایی بودن استفاده نمی‌کنه و برگشته سراغ حملات هدفمند‌تر با بدافزارهای سفارشی مثل Phoenix و StealthCache. جالبه که الان از سرویس‌های AWS آمازون و Cloudflare برای مخفی کردن زیرساخت‌هاشون استفاده می‌کنن و سرورهاشون رو توی هاستینگ‌های مختلف از M247 و OVH گرفته تا شرکت‌های bulletproof پخش کردن. روش اصلی نفوذشون هنوز همون ایمیل‌های فیشینگ با فایل‌های آلوده آفیس هست که ماکروهای مخرب دارن.

نکته مهم اینه که MuddyWater دیگه حملات گسترده و کورکورانه انجام نمیده و رفته سمت عملیات‌های حرفه‌ای‌تر. بدافزار جدیدشون StealthCache خیلی پیشرفته‌س و می‌تونه از طریق HTTP با سرور فرماندهی ارتباط برقرار کنه، اطلاعات سیستم رو بدزده و حتی پنجره‌های جعلی ورود رمز عبور ویندوز نشون بده تا کاربران رو فریب بده. گروه همچنان روی کشورهای خاورمیانه تمرکز داره ولی فعالیت‌هاش توی اروپا و آمریکا هم بیشتر شده. محققان توی این گزارش نشون دادن چطور با استفاده از اشتباهات امنیتی MuddyWater و تحلیل زیرساخت‌هاشون می‌شه ردشون رو گرفت - مثلاً از طریق certificate های TLS مشترک یا پترن‌های مشابه توی سرورهاشون. البته این گروه سعی می‌کنه با خاموش کردن سریع سرورهای C2 بعد از هر عملیات و استفاده از VPN ردپاشون رو پاک کنه.

@NarimanGharib
https://www.group-ib.com/blog/muddywater-infrastructure-malware/