Державне хакерське угруповання MuddyWater (також відоме як Static Kitten, Mercury або Seedworm) здійснило масштабну кібератаку на понад 100 урядових організацій у регіоні Близького Сходу та Північної Африки. Для шпигунства хакери використали оновлену версію бекдору Phoenix (v4), який дозволяє отримувати повний контроль над зараженими системами.
За даними компанії Group-IB, атаки розпочалися 19 серпня 2025 року, коли зловмисники використали зламаний обліковий запис через VPN-сервіс NordVPN для розсилки фішингових листів державним структурам.
У вкладеннях містилися Word-документи з макросами, які після активації користувачем розгортали шкідливе ПЗ FakeUpdate. Це завантажувач, що розпаковував AES-зашифрований payload Phoenix на диск за адресою C:\ProgramData\sysprocupdate.exe і додавав його до реєстру Windows, забезпечуючи автозапуск після входу в систему.
Phoenix v4 має розширені можливості збирання системної інформації — від імені користувача й домену до версії Windows.
Шкідник спілкується з командним сервером (C2) через WinHTTP і підтримує команди:
завантаження/вивантаження файлів;
запуск інтерактивної оболонки;
зміна часу очікування між сесіями;
оновлення конфігурацій.
Окрім цього, MuddyWater використала інфостілер, що краде бази даних браузерів Chrome, Brave, Opera та Edge, добуваючи збережені паролі та ключі дешифрування. На керівній інфраструктурі дослідники також виявили PDQ-утиліти для масового розгортання ПЗ та Action1 RMM, які часто застосовують іранські групи для утримання доступу. MuddyWater — це APT-угруповання, яке з 2017 року діє під егідою іранського уряду, проводячи кампанії кібершпигунства проти дипломатичних і військових об’єктів.
Раніше хакери застосовували інструменти POWERSTATS, Small Sieve, ClickFix, а цього разу повернулися до старої техніки макросів у документах Office, незважаючи на те, що Microsoft відключила їх за замовчуванням. За оцінкою Group-IB, відключення початкового C2-сервера 24 серпня свідчить про перехід до другої фази операції з використанням додаткових інструментів для збору розвідданих. Кампанія Phoenix v4 демонструє, що державні APT-групи активно відроджують навіть застарілі методи зараження, поєднуючи їх із новими способами приховування.
Експерти закликають урядові організації обмежити макроси, перевірити регістри систем на ознаки Phoenix і посилити контроль доступу через VPN-сервіси. Будь-яка необережність може коштувати повного компрометування внутрішніх мереж і дипломатичних каналів.
