חוקרי סייבר חשפו מערכת מתקפות חדשה של MuddyWater הידוע בשם Static Kitten (חשוד כמזוהה עם משרד המודיעין והביטחון האיראני). במתקפת סייבר זו נשלחת תוכנה לגיטימית לגישה מרחוק למטרות בעלות חשבונות דוא"ל שפרטי הגישה אליהם נפרצו. על פי הדיווחים, המטרות במערכה זו נמצאות בארמניה, אזרבייג'ן, מצרים, עיראק, ישראל, ירדן, עומאן, קטאר, טג'יקיסטן ואיחוד האמירויות הערביות. הקבוצה נמצאת במעקב גם בשמות אחרים כמו Boggy Serpens, Cobalt Ulster, Earth Vetala, Mercury, Seedworm, ו- TEMP.Zagros. חוקרי סייבר מעריכים כי הקבוצה שמה לה למטרה מגוון ארגונים ממשלתיים ופרטיים במגזרים שונים כולל תקשורת, מוניציפליות, ביטחון, נפט וגז טבעי. במהלך השנים השתמשה הקבוצה בטקטיקות שונות לרבות התקפות Log4Shell. השיטה הנפוצה ביותר שלה היא שליחת דוא"ל דיוג ממוקד עם קישורים לנוזקות המתארחות בשירותים לגיטימיים כמו Dropbox ו- Onehub.
המיילים נשלחים מחשבונות דוא"ל שנפרצו וזו דרך עבור ההאקרים לבסס רמת אמון מבלי לדרוש רמת מיומנות גבוהה מצידם. בהתקפה ממוקדת, מכיר הצד המקבל את החברה או אולי אפילו את מי ששלח את הדוא"ל לכאורה. ניתן לקנות חשבונות אימייל שנפגעו בשווקי Dark Web תמורת עלות נמוכה יחסית (טווח המחירים הוא 8-25 דולר). הקובץ שהקורבן מוריד למחשבו מכילי מתקין עבור הסוכן של תוכנת הגישה מרחוק אשר מאפשרת לשלוט מרחוק על מחשב אחד מהאחר ומעניקה למשתמש את התחושה שהוא עובד ברמת שליטה גבוהה ישירות על המערכת המרוחקת. מסיבה זו מותקנות תוכנות גישה מרחוק לרוב על ידי ספקי שירות מנוהלים כדי לפתור בעיות או לנהל מרחוק את המערכות של הלקוחות שלהם.
בעבר, השתמשה MuddyWater ב- ScreenConnect, RemoteUtilities ו- Atera Agent, אך במערכה הנוכחית עברה הקבוצה לשימוש ב- Syncro שהינה פלטפורמה עסקית משולבת עבור ספקי שירות מנוהלים. גרסת הניסיון של Syncro אשר הפיצו ההאקרים, מכילה את ממשק האינטרנט המלא המאפשר שליטה מלאה במחשב עם סוכן Syncro מותקן. תכונות אלו כוללות מסוף עם הרשאות SYSTEM, גישה לשולחן עבודה מרוחק, גישה מלאה למערכת הקבצים, משימות ומנהל שירותים – אידיאלי עבור תוקף כדי להרחיב את דריסת הרגל שלו על פני רשת היעד.
ההמלצה הגורפת בנושא זה הינה לא ללחוץ על קישורים או לפתוח קבצים מצורפים בלתי צפויים, גם אם נראה שהם מגיעים ממקור מוכר. כמו כן, על אף שיכולות להיות סיבות לגיטימיות לנוכחותן של תוכנות גישה מרחוק, יש לוודא שיודעים מי התקין אותן ומדוע ובעת החיבור מרחוק לפקח על הנעשה בידי הצד המרוחק.
