伊朗网络间谍组织MuddyWater自2021年起使用了一个名为PhonyC2的新型命令与控制(C2)框架，用于对目标进行渗透和数据窃取。PhonyC2的当前版本是用Python3编写的。它在结构和功能上类似于MuddyC3。PhonyC2框架可以动态生成PowerShell后门，并在受感染的主机上执行。该框架还可以与Ligolo反向隧道工具配合使用，实现对目标网络的深度渗透。MuddyWater组织在进行网络攻击时，常常利用公开面向的服务器和社交工程技巧作为初始访问点，例如使用虚假身份、诱惑性的工作机会、记者采访或智库专家等方式来吸引目标。

伊朗MuddyWater组织使用合法的远程设备控制和管理工具SimpleHelp保持持久性。MuddyWater 于 2022 年 6 月 30 日首次使用 SimpleHelp，目前该组织至少在八台服务器上安装了 SimpleHelp。安装在目标设备上的SimpleHelp客户端可以作为系统服务持续运行，因此攻击者能够随时访问用户的设备，包括在重启后。初始感染载体目前未知，研究人员怀疑是钓鱼攻击。

微软研究人员检测到由MuddyWater组织(又名MERCURY)启用的破坏性操作。MERCURY 是一个与伊朗政府有联系的APT组织，它同时攻击本地和云环境。攻击者试图将该活动伪装成标准的勒索攻击，实际目标为破坏性行动。MERCURY 可能与另一个被微软追踪为 DEV-1084 的参与者合作，后者在 MERCURY 的成功操作获得对目标环境的访问权限后执行了破坏性操作。Mercury 和 DEV-1084 之间的联系源于基础设施、IP 地址和工具重叠。没有足够的证据可以确定 DEV-1084 是否独立于 MuddyWater 运作并与其他伊朗演员合作，或者它是否是一个仅在需要进行破坏性攻击时才被召集的子团队。

MuddyWater又名Static Kitten或Mercury，是一个网络间谍组织，很可能是伊朗情报和安全部 (MOIS) 的下属组织。近日，研究人员发现了 MuddyWater 组织的一项新活动，该组织使用了一种名为Syncro的新型远程管理工具，针对的目标包括亚美尼亚、阿塞拜疆、埃及、伊拉克、以色列、约旦、阿曼、卡塔尔、塔吉克斯坦和阿拉伯联合酋长国。

MuddyWater又名“MERCURY”或“Static Kitten”，被美国网络司令部归属于伊朗情报与安全部 ( MOIS ) 。MuddyWater组织至少从2017 年开始活跃，经常在北美、欧洲和亚洲国家开展针对高价值目标的活动。 近日，研究人员观察到针对土耳其和阿拉伯半岛的新网络攻击，认为这些攻击来自MuddyWater APT组织。在针对阿拉伯半岛的新活动中，攻击者部署了一种基于 WSF 的 RAT，研究人员将其称之为“SloughRAT”。根据对多个 MuddyWater 活动的审查，研究人员认为MuddyWater APT组织是由多个独立运作的子组织组成的。

2021年11 月，研究人员观察到了针对中东政府和技术实体的攻击活动，并将此次活动归因于UNC3313集群。攻击者在活动中使用了GRAMDOOR和STARWHALE新型后门。 简况研究人员以适度的信心评估，UNC3313组织与MuddyWater组织有关。MuddyWater是至少从 2017 年 5 月开始活跃的伊朗APT组织，多年来一直在更新他们的工具包，包括POWERSTATS、POWGOOP和MORIAGENT等恶意软件。2022 年 1 月 12 日，美国政府公开表示，MuddyWater组织隶属于伊朗情报和安全部 (MOIS)。

2月24日，联邦调查局 (FBI)、网络安全和基础设施安全局 (CISA)、美国网络司令部网络国家任务部队 (CNMF) 和英国国家网络安全中心 (NCSC-UK) 分享了关于伊朗 MuddyWatter 组织攻击活动的信息，并介绍了该组织使用的各种恶意软件家族。 简况MuddyWater又名Earth Vetala、MERCURY、Static Kitten、Seedworm 和 TEMP.Zagros，是伊朗情报和安全部 (MOIS) 的一个下属部门，自大约2018年以来开展了广泛的网络活动。英美执法机构表示， MuddyWater组织正针对电信、国防、地方政府以及石油和天然气等一系列政府和私营部门发起网络间谍活动和其他恶意网络行动，受害者主要位于亚洲、非洲、欧洲和北美。

MuddyWater APT组织又名MERCURY 或 Static Kitten，此前曾被美国网络司令部归因于伊朗情报与安全部(MOIS)。近日，研究人员观察到一项针对土耳其私人组织和政府机构的新活动，并以高置信度将此活动归因于MuddyWater组织。 简况MuddyWater组织至少从2017 年开始活跃，此前曾针对遍布美国、欧洲、中东和南亚的实体开展了各种活动，包括电信、政府（IT 服务）、石油和航空业领域。攻击者开展的活动旨在实现以下三个结果之一：间谍活动、窃取知识产权、勒索软件攻击。

1月12日，美国网络司令部（USCYBERCOM）发布报告，正式将 MuddyWatter 黑客组织与伊朗情报与安全部 (MOIS) 联系起来。 简况MOIS 是伊朗政府的主要情报机构，负责协调该国的情报和反间谍活动，以及支持伊斯兰政权在伊朗境外的秘密行动。 MuddyWater是来自伊朗的APT组织，又名 SeedWorm 和 TEMP.Zagros，于 2017年首次被发现，主要针对中东国家，也针对欧洲、北美和亚洲国家。美国网络司令部表示，MuddyWater 是伊朗情报与安全部 (MOIS) 的下属部门。

疑似伊朗国家支持的威胁组织MuddyWater正在部署一个名为“Aclip”的新后门，攻击亚洲航空公司。Aclip后门用 PowerShell 脚本语言编写，利用 Slack 消息应用程序接口 (API) 进行C2通信。 简况攻击活动始于 2019 年，目标是一家亚洲航空公司，以窃取航班预订数据。攻击者疑似是MuddyWater组织，该组织在攻击活动中部署了名为“Aclip”的新后门。Aclip通过名为“aclip.bat”的 Windows 批处理脚本执行，通过添加注册表项在受感染设备上建立持久性，并在系统启动时自动启动。