揭秘MuddyWater新型恶意软件工具包驱动的国际间谍活动

引言

Group-IB威胁情报发现由高级持续性威胁（APT）组织MuddyWater策划的复杂钓鱼活动，目标是全球国际组织以收集外国情报。

MuddyWater通过NordVPN（威胁行为者滥用的合法服务）访问受感染的邮箱，并利用其发送看似真实通信的钓鱼邮件。通过利用此类通信相关的信任和权威，该活动显著提高了欺骗收件人打开恶意附件的成功率。

钓鱼邮件包含Microsoft Word文档，提示收件人（受害者）启用宏以查看内容。一旦宏被激活，Microsoft Word文档会执行恶意的Visual Basic for Application（VBA）代码，最终在受害者系统上部署Phoenix后门版本4。

Group-IB基于观察到的工具、技术和程序（TTPs），以高度信心将此活动归因于与伊朗有关的威胁行为者MuddyWater。该事件强调了国家支持的威胁行为者如何继续利用受信任的通信渠道来规避防御并渗透高价值目标。

关键要点

• MuddyWater正在针对国际组织进行间谍活动
• 在此活动中使用了Phoenix后门恶意软件版本4，具有不同的持久性技术
• 在此活动中可能使用了新的远程监控和管理（RMM）工具和自定义浏览器凭据窃取器

归因评估

Group-IB基于在调查和分析过程中观察到的以下指标，以高度信心将此活动归因于MuddyWater：

• 投放的恶意软件家族Fakeupdate注入器和Phoenix后门是先前仅在MuddyWater操作中观察到的自定义恶意软件
• 文档中嵌入的恶意宏与过去MuddyWater活动中使用的宏共享相似逻辑并匹配代码
• 命令与控制（C2）服务器托管了一个自定义浏览器凭据窃取器，采用了在其他MuddyWater相关恶意软件中观察到的相同字符串解码技术
• 相同的C2基础设施还包含PDQ RMM工具，这些工具先前已被MuddyWater用于远程访问和持久性
• 目标模式与MuddyWater的历史受害者学一致，特别是其对中东地区的关注

Group-IB威胁情报门户：MuddyWater Group-IB客户可以访问我们的威胁情报门户，获取有关MuddyWater和Phoenix恶意软件配置文件的更多信息。

从恶意邮件到系统入侵

MuddyWater使用受损账户发送恶意邮件来启动操作。根据邮件头信息，MuddyWater通过NordVPN访问受损账户，并利用其向全球多个目标发送钓鱼邮件。

钓鱼邮件包含恶意Microsoft Word附件。打开时，文档显示模糊内容，并指示收件人"启用内容"以查看文本。一旦启用宏，嵌入的VBA代码就会执行，充当投放器，在将加载程序写入磁盘之前对其进行解码和执行。

加载程序被识别为FakeUpdate，这是一种注入器式加载程序，使用高级加密标准（AES）解密嵌入的第二阶段有效负载，并将其注入到自己的进程中。解密的第二阶段有效负载被识别为Phoenix后门版本4。以sysProcUpdate名称写入磁盘的Phoenix v4向攻击者的命令与控制（C2）基础设施注册受感染主机，启动持续信标和轮询命令，从而实现远程控制、数据收集和进一步的后期利用活动。

图1. 执行杀伤链概述

目标分析和活动洞察

对Group-IB观察到的钓鱼邮件收件人的检查揭示了几个关键见解：

显著的目标模式

• 包含个人电子邮件账户：官方（.gov）和个人电子邮件（Yahoo、Gmail和Hotmail）的混合表明MuddyWater对其目标具有详细了解
• 针对国际组织：该活动的关注范围扩展到参与国际合作和人道主义任务的有影响力的全球组织，突显了行为者更广泛的地缘政治动机

目标类型分类

下图基于Group-IB对钓鱼邮件收件人的分析，提供了在此间谍活动中识别的不同目标类别的细分。

几个目标收件人是知名全球机构的一部分，这些机构专注于国际合作和人道主义工作。这支持了该组织更大的地缘政治目标及其目标的有目的性。

图2. 在此MuddyWater活动中观察到的目标类型图

样本连接和活动重叠

在对与此活动相关的工件进行扩展分析期间，Group-IB威胁情报识别了与当前操作共享技术和基础设施重叠的其他恶意文档。这些发现表明MuddyWater持续活动，可能涉及相关或并发活动。

我们识别了另一个冒充政府组织研讨会的恶意文档，讨论该地区持续的地缘政治紧张局势，并反映了此活动中其他地方看到的主题。该文件包含相同的宏代码，提供相同的有效负载，并与其他样本（screenai[.]online）与相同的命令与控制（C2）域通信。鉴于这些重叠——包括匹配的最后编辑元数据和编辑时间戳——我们评估此文档属于同一间谍活动。尽管确切的分发方法尚未确认，但通过受损电子邮件账户进行钓鱼是最可能的向量。

此外，我们识别了另一个针对中东和北非能源部门的文档。该文件还部署了FakeUpdate恶意软件注入器以提供Phoenix后门版本4，与此间谍活动中使用的相同C2基础设施（screenai[.]online）通信。此次攻击与本文博客中提到的活动在同一时间范围内进行，然而，由于目标配置文件不同，此样本专注于能源部门实体而非外交或国际组织，我们评估这是一个单独但并发的MuddyWater操作，重用了相同的C2域。

恶意软件分析

恶意邮件附件

当启用并执行宏时，恶意文档宏检索嵌入的投放文件并写入C:\Users\Public\Documents\ManagerProc.log，然后执行该文件。

图3. 收件人启用后执行的宏截图

投放的后门

投放的文件充当由Group-IB跟踪为FakeUpdate的注入器。它解密嵌入的第二阶段有效负载并将其注入到自己的进程中。注入的组件是MuddyWater使用的Phoenix后门版本4的后门，执行以下操作：

• 尝试创建名为sysprocupdate.exe的互斥体
• 收集系统信息，包括计算机名称、域/工作组、Windows版本和用户名
• 将自身复制到C:\ProgramData\sysprocupdate.exe
• 通过修改注册表键HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon并更改Shell值来实现持久性
• 通过WinHTTP连接到其C2服务器以接收和执行命令

命令映射

基于COM的持久性和重叠工件

此攻击中使用的Phoenix后门版本4具有一个在正常操作期间未投放或执行的嵌入式可移植可执行（PE）文件。在提取和逆向工程此文件后，Group-IB威胁情报确定它是一个组件对象模型（COM）动态链接库（DLL），旨在通过启动文件C:\Users\Public\Downloads\Mononoke.exe来建立持久性。

类似的DLL（coreglobconfig.dll）先前在CannonRat恶意软件中观察到，该恶意软件也与MuddyWater有关联。

图4. CannonRat使用的coreglobconfig与此后门内嵌DLL的比较

在搜寻文件路径C:\Users\Public\Downloads\Mononoke.exe期间，Group-IB威胁情报恢复了另外两个样本，其程序数据库（PDB）路径指向C:\Users\win10\Desktop\phoenixV4\phoenixV3\phoenixV2\x64\Debug\phoenix.pdb（哈希值：6de859a27ccc784689e8748cef536e32780e498a，bed6506f8f5281888f89781cf6fbc750545292fc）。两个样本均被识别为Phoenix后门版本4，工件表明此版本的后门包括通过组件对象模型（COM）对象的附加持久性机制，而不仅仅是此活动中观察到的Winlogon注册表修改。

Mononoke.exe后门及其关联DLL是通过使用在最近Group-IB威胁情报记录的MuddyWater操作中看到的相同诱饵和主题的恶意文档提供的。这种重叠表明开发人员可能忽略了从此活动中使用的恶意软件中移除此DLL工件。

图5. 投放Mononoke.exe的文档，使用与最近攻击中相同的主题

基础设施分析

邮件头中x-originating-ip的值是位于法国的NordVPN出口节点。x-originating-ip头揭示了首次将电子邮件提交到邮件服务器的客户端或设备的原始IP地址。根据IPinfo，此IP位于法国：

图6. NordVPN出口节点IP信息

基于此分析，我们可以记录MuddyWater在其操作中使用NordVPN和可能其他类似VPN服务的事实。

恶意软件样本包含硬编码的C2域screenai[.]online，该域在钓鱼活动启动后仅保持活跃几天。尽管关于此域的信息有限，但Group-IB威胁情报能够建立几个关键细节。

域screenai[.]online于2025年8月17日16:41:01（UTC）（2025-08-17T16:41:01.00Z）通过NameCheap注册，到期日期为2026年8月17日16:41:01（2026-08-17T16:41:01.00Z）。DNS服务器设置为CloudFlare，如WHOIS记录所示。

图7. WHOIS信息中的C2名称服务器

这可以通过查看属于CloudFlare的解析IP地址来确认，如下图所示：

图8. C2被动DNS历史

在此阶段，除非我们获得真实IP地址，否则进一步分析将不可能。然而，我们能够通过安全套接字层（SSL）证书发现它，显示服务器的真实IP是159[.]198[.]36[.]115，该IP注册在NameCheap的自治系统编号（ASN）下，这与域注册信息一致。

图9. 使用Group-IB的Graph解决方案分析MuddyWater的C2域

图10. 通过Group-IB威胁情报平台获取的C2使用的SSL证书截图

分析与真实IP地址相关的横幅揭示了几个发现：

• 威胁行为者于2025年8月19日部署服务器和服务器端C2组件，并于2025年8月24日将其关闭，表明活跃攻击窗口约为五天
• C2组件最初在Uvicorn上运行，直到MuddyWater于2025年8月24日将其替换为Apache，后者一直响应"503服务不可用"消息
• 网页显示标题"ScreenAI | Your On-Screen Content Genius"

图11. C2服务器真实IP地址截图

图12. C2服务器真实IP地址及端口443和8080上安装的应用程序截图

鉴于攻击时间短且禁用C2服务器会使部署的后门失效，我们评估MuddyWater可能已在受感染主机上跟进其他工具或恶意软件以维持访问并继续情报收集，此评估得到在该IP上观察到的开放目录的支持，该目录包含几个RMM和后期利用工具。

开放目录使用Python简单HTTP服务器（SimpleHTTP/0.6 Python/3.10.12）暴露。值得注意的是，未识别到类似服务器。

图13. C2服务器上暴露的开放目录截图

自定义恶意软件和新的远程监控和管理工具

在调查与此活动相关的基础设施（特别是159[.]198[.]36[.]115）期间，Group-IB威胁情报识别了托管在攻击者C2服务器上的自定义工具和几个远程监控和管理（RMM）实用程序。这些组件似乎已用于受感染主机上的远程访问和凭据收集。我们认为这些工具和实用程序可能在此活动中被MuddyWater使用。

在C2上观察到的工件包括自定义浏览器凭据窃取器和两个RMM实用程序：

• Chromium_Stealer：托管在hxxp://159.198.36[.]115:4444/chromium_stealer_user.exe的自定义浏览器凭据窃取器，伪装成计算器应用程序
• Action1：在C2上识别的RMM工具，用于远程管理和命令执行
• PDQ RMM：在同一C2服务器上发现的附加RMM实用程序，先前在MuddyWater操作中观察到

Chromium_Stealer - 技术摘要

• 主机URL：hxxp://159.198.36[.]115:4444/chromium_stealer_user.exe
• 伪装：显示为类似计算器的用户应用程序以减少怀疑
• 主要目标：收集浏览器存储的凭据并将收集的数据写入本地暂存文件

观察到的行为：

• 枚举浏览器配置文件目录以定位Local State文件和配置文件数据库
• 从Local State提取os_crypt.encrypted_key并使用OS加密API解包主密钥
• 终止活动浏览器进程主要是为了删除配置文件数据库上的文件锁
• 打开Login Data文件以提取存储的登录凭据
• 使用恢复的主密钥解密凭据并将结果写入本地暂存文件C:\Users\Public\Downloads\cobe-notes.txt（凭据以加密形式写入）
• 通过从其最后状态重新启动浏览器来恢复浏览器，以最小化用户怀疑

受影响的浏览器：

• Google Chrome
• Opera
• Brave
• Microsoft Edge

图14. Chromium窃取器的入口点

结论

MuddyWater仍然是一个与伊朗结盟的持久威胁行为者，从事长期间谍和渗透活动，针对中东地区的高价值政府和国际组织，并在欧洲、非洲和北美观察到扩展操作。

此活动突显了MuddyWater不断发展的技术和操作成熟度。该组织利用受损邮箱来利用受信任的通信渠道，这是一种高度有效的社会工程向量，绕过了传统安全防御。通过部署更新的恶意软件变体，如Phoenix v4后门、FakeUpdate注入器和自定义凭据窃取工具，以及合法的RMM实用程序如PDQ和Action1，MuddyWater展示了将自定义代码与商业工具集成以提高隐身和持久性的增强能力。

鉴于MuddyWater对政府目标的持续关注，特别是在该地区持续的地缘政治紧张局势中，Group-IB预计类似活动将继续出现，利用新受损账户和不断发展的有效负载。MuddyWater持续重用和修改其自定义恶意软件家族的模式强调了长期战略情报目标，而非追求短期收益。

建议

组织，特别是在政府和关键基础设施部门运营的组织，可以通过实施以下措施来加强针对MuddyWater和类似国家结盟行为者的防御：

加强威胁情报和监控

• 订阅可信的威胁情报源，以接收与MuddyWater相关的最新妥协指标（IOCs）和战术、技术和程序（TTPs）
• 对与Phoenix、FakeUpdate和相关基础设施（例如screenai[.]online、sysprocupdate.exe）相关的指标进行持续威胁搜寻
• 集成YARA规则和端点检测与响应（EDR）检测以识别已知的MuddyWater恶意软件家族

增强电子邮件和钓鱼防御

• 为Office文档部署沙箱和附件扫描，标记那些带有嵌入宏或可疑VBA代码的文档
• 对人员定期进行钓鱼模拟和意识培训，强调"启用内容"宏诱饵

实施端点和访问控制

• 通过组策略默认禁用Office宏，仅允许来自签名或可信源的执行
• 部署和调整EDR/XDR解决方案以检测PowerShell滥用、进程注入和异常自动注册表修改
• 在所有账户上强制执行多因素认证（MFA）以防止未经授权的邮箱访问

加强网络和基础设施安全

• 监控出站流量以查找与已知MuddyWater C2模式和域匹配的异常信标或重复HTTP（S）请求
• 限制、记录和监控远程监控和管理工具（RMM）的使用，如Action1、PDQ和ScreenConnect，并仅允许组织所需的RMM工具

建立长期战略防御

• 维护全面的资产可见性并对所有关键系统执行最小权限原则
• 为来自意外区域或VPN的账户登录和电子邮件模式部署基于行为的异常检测
• 定期审查和更新事件响应和危机应对手册，以解决基于钓鱼的入侵和凭据泄露场景

免责声明

本出版物中提供的所有技术信息，包括恶意软件分析、妥协指标和基础设施细节，仅共享用于防御性网络安全和研究目的。Group-IB不认可或允许对此处包含的信息进行任何未经授权或攻击性使用。数据和结论代表Group-IB基于可用证据的分析评估，旨在帮助组织检测、预防和响应网络威胁。

Group-IB明确声明对任何提供信息的误用不承担责任。鼓励组织和读者负责任地应用此情报，并遵守所有适用的法律和法规。

常见问题解答

什么是MuddyWater间谍活动？ 这是由与伊朗有关的高级持续性威胁（APT）组织MuddyWater进行的网络间谍操作。在此活动期间，向全球100多个政府目标发送了包含Phoenix后门恶意软件的钓鱼邮件。

此活动何时开始？ 操作于2025年8月19日开始，有证据表明MuddyWater通过NordVPN连接访问和使用电子邮件账户来分发钓鱼邮件。

受害者是如何被针对的？ 受害者收到了看似来自合法来源的钓鱼邮件。附加的Microsoft Word文档敦促收件人"启用内容"。一旦启用，恶意VBA宏执行代码，安装Phoenix v4后门，为攻击者提供对受害者系统的持久访问。

攻击中使用了哪些恶意软件家族？ 识别的主要恶意软件家族包括：

• Phoenix后门（版本4）—用于持久性、命令执行和数据渗出
• FakeUpdate注入器—用于部署Phoenix后门
• Chromium_Stealer—伪装成计算器应用程序的自定义凭据窃取器
• 远程监控和管理（RMM）工具—PDQ RMM和Action1，用于远程控制和持久性

Phoenix后门如何工作？ 版本4的Phoenix后门通过以下方式工作：

• 创建互斥体（sysprocupdate.exe）以实现进程唯一性
• 收集主机和系统信息
• 将自身复制到C:\ProgramData\sysprocupdate.exe
• 通过Windows注册表修改建立持久性
• 通过WinHTTP与其命令与控制（C2）服务器通信，接收和执行攻击者命令

C2域"screenai[.]online"的重要性是什么？ 域screenai[.]online作为操作的核心命令与控制中心，于2025年8月17日通过NameCheap注册，并托管在159[.]198[.]36[.]115上，位于Cloudflare基础设施后面。它保持活跃约五天，表明攻击窗口短且严格控制。

Group-IB如何将活动归因于MuddyWater？ 归因是基于在MuddyWater活动中先前观察到的共享恶意软件代码和宏、专注于政府实体的持续目标模式，以及MuddyWater已知工具（包括FakeUpdate、Phoenix和PDQ RMM）的存在，以高度信心进行的。

MuddyWater的背景和动机是什么？ MuddyWater（也称为Seedworm、TA450、Boggy Serpens和Earth Vetena等别名）自2017年以来一直运作，据报告与伊朗情报和安全部（MOIS）有关；其主要目标包括长期间谍和情报收集、地缘政治对手的战术干扰，以及维持对政府、能源和电信等战略部门的持续访问。

妥协指标（IOCs）