IDENTIFICATION & ATTRIBUTION
Dénominations (alias connus par vendor)
Le groupe est suivi sous les dénominations suivantes selon les vendors : MERCURY (Microsoft, dénomination historique), MuddyWater (ClearSky, dénomination d’usage courant), Mango Sandstorm (Microsoft, dénomination actuelle), Seedworm (Symantec/Broadcom), Static Kitten (CrowdStrike), Earth Vetala (Trend Micro), TEMP.Zagros (Mandiant/FireEye pré-attribution), TA450 (Proofpoint), Boggy Serpens (Palo Alto Unit 42). Autres aliases documentés : MuddyC2 (opérationnel), G0069 (MITRE ATT&CK).
Origine
Iran.
Sponsor présumé
Le groupe est évalué comme un élément subordonné au MOIS : Ministry of Intelligence and Security (Vezarat-e Ettelaat va Amniat-e Keshvar) (1). Cette attribution a été formalisée dans un avis conjoint publié le 24 février 2022 par le FBI, la CISA, le CNMF et le NCSC-UK, avec un niveau de confiance élevé. MERCURY/MuddyWater opère sous la même tutelle institutionnelle qu’APT39 (MOIS) mais constitue un cluster d’activité distinct par ses cibles, ses outils et ses objectifs opérationnels. Les acteurs du groupe sont évalués comme étant en mesure de partager des accès et des données avec d’autres acteurs malveillants iraniens (1). Un lien opérationnel avec le cluster Storm-1084 (DarkBit) a été documenté par Microsoft.
Niveau de sophistication
Tier 2 : Modéré à Fort, en progression constante. L’évolution du groupe sur la période 2017-2026 se structure en trois phases documentées (2) :
Phase I (2017-2022) : opérations centrées sur des scripts PowerShell/VBS. Arsenal principal : POWERSTATS, PowGoop, Small Sieve, Canopy/Starwhale, Mori.
Phase II (2023-2024) : virage doctrinal vers l’abus d’outils RMM (Remote Monitoring and Management) légitimes comme vecteur de C2 principal (SimpleHelp, ScreenConnect, N-able), combiné à l’émergence des premiers backdoors custom de nouvelle génération (BugSleep/MuddyRot).
Phase III (2024-2026) : itération rapide sur des malwares custom, adoption de Rust comme langage de développement (RustyWater), intégration documentée de l’IA générative dans le développement des outils, C2 via bots Telegram, et extension géographique vers les États-Unis et le Canada (campagne Dindoor, mars 2026).
Motivation
Espionnage stratégique à large spectre et perturbation ciblée. Collecte de renseignement sur des cibles gouvernementales, militaires et d’infrastructure critique au service des objectifs du MOIS. Depuis 2024, corrélation documentée entre les accès cyber compromis (flux CCTV en direct) et des opérations cinétiques iraniennes (frappes de missiles). Déploiement occasionnel de ransomware (Thanos, 2020-2021 ; variantes 2024) comme vecteur de perturbation ou d’extorsion secondaire.
Statut
ACTIF : dernière activité documentée : mars 2026. Campagnes Dindoor (Broadcom/Symantec, mars 2026), RustyWater (janvier 2026), Operation Olalampo (Group-IB, janvier-février 2026), avec compromissions confirmées ciblant des entités américaines, israéliennes et canadiennes (3)(4)(5).