自2025年初，伊朗APT组织MuddyWater的攻击活动显著增加，使用定制恶意软件和多阶段攻击，借助Cloudflare隐藏真实服务器。攻击者通过鱼叉式钓鱼邮件传播恶意文档，实施复杂的感染链，增加追踪难度。

APT组织MuddyWater针对全球财务高管发起复杂钓鱼攻击，伪装成招聘邮件，通过Firebase托管钓鱼页面诱骗目标。攻击者利用多阶段流程安装NetBird和OpenSSH，创建隐藏管理员账户，以确保隐蔽的远程访问和增强攻击持久性。

MuddyWater 频繁更新恶意样本，塞讯验证建议尽快验证安全防御体系是否能有效应对攻击，做好主动防御工作。

伊朗APT组织MuddyWater利用合法远程监控工具Atera进行网络攻击。攻击者通过钓鱼邮件向以色列员工发送恶意链接的PDF附件，安装名为AteraAgent的远程管理软件。这次活动被归因于TA450组织，是其战术的转变。这是首次观察到TA450使用与诱饵内容匹配的发件人邮箱。