رصد باحثون في الأمن السيبراني تطوراً جديداً في تكتيكات مجموعة MuddyWater الإيرانية، حيث باتت تعتمد على أدوات متقدمة مثل Shodan وNuclei لتحديد الأهداف الضعيفة، إضافة إلى استخدام أدوات مثل subfinder وffuf في عمليات تعداد تطبيقات الويب المستهدفة. التحليل الأخير استند إلى خادم VPS تابع للمجموعة مستضاف في هولندا، وكشف عن محاولات لاستغلال ثغرات حديثة في عدد من البرمجيات والخدمات.
استغلال ثغرات حديثة متعددة
تشير التحقيقات إلى أن المجموعة تسعى لمسح أو استغلال ثغرات أمنية حديثة، منها:
- BeyondTrust (CVE-2026-1731)
- Ivanti (CVE-2026-1281)
- n8n (CVE-2025-68613)
- React (CVE-2025-55182)
- SmarterMail (CVE-2025-52691)
- Laravel Livewire (CVE-2025-54068)
- N-Central (CVE-2025-9316)
- Citrix NetScaler (CVE-2025-5777)
- Langflow (CVE-2025-34291)
- Fortinet (CVE-2024-55591, CVE-2024-23113, CVE-2022-42475)
كما تم رصد محاولات لاستغلال ثغرات SQL Injection في منصة BaSalam وأحد منصات تطوير Postgres غير محددة، بهدف الحصول على وصول أولي إلى الأنظمة.
أدوات التحكم والسيطرة (C2)
من بين الأدوات المخصصة التي تم العثور عليها في البنية التحتية للمجموعة أداة KeyC2، وهي إطار للتحكم والسيطرة يسمح بالتحكم عن بُعد في أجهزة ويندوز المخترقة عبر بروتوكول ثنائي مخصص يعمل على المنفذ 1269 باستخدام سكربتات بايثون. كما تستخدم المجموعة أدوات أخرى مثل:
- PersianC2: يعتمد على الاستطلاع عبر بروتوكول HTTP لتلقي الأوامر والملفات عبر واجهات JSON.
- ArenaC2: برنامج مكتوب بلغة بايثون يعمل عبر طلبات HTTP POST.
إضافة إلى ذلك، تم رصد PowerShell Loader يؤدي إلى تنفيذ حمولة مشفرة بلغة Node.js تشبه إلى حد كبير برمجية Tsundere Botnet.
الأهداف الإقليمية والدولية
تشير التقييمات إلى أن هذه البنية التحتية استُخدمت لاستهداف كيانات في إسرائيل، مصر، الأردن، الإمارات، والولايات المتحدة. كما أن بعض الأنشطة تتداخل مع حملة معروفة باسم Operation Olalampo، ما يعكس استمرار المجموعة في تطوير أساليبها وتوسيع نطاق عملياتها.
