Boggy Serpens, también conocido como MuddyWater, es un grupo de espionaje cibernético estatal iraní que ha estado activo desde al menos el año 2017. Subordinado al Ministerio de Inteligencia y Seguridad (MOIS), Boggy Serpens se centra en la gobernanza, las fuerzas armadas y los sectores de infraestructura crítica en regiones como Medio Oriente, Cáucaso, Asia Central y Occidental, América del Sur y Europa. Las campañas tempranas estuvieron caracterizadas por ataques de phishing personalizado a gran escala con baja sofisticación utilizando tácticas Low and Slow (Láser y Veloz). Sin embargo, el grupo ha adoptado una abordaje más adaptativo, centrándose en la explotación de relaciones confiables y ataques en varias oleadas contra organizaciones clave.
Las últimas actividades de Boggy Serpens demuestran mejoras significativas en sus capacidades técnicas. Utilizan implantaciones de malware mejorados con inteligencia artificial que incluyen técnicas anti-análisis para la persistencia a largo plazo. Además, el grupo emplea tácticas sofisticadas de ingeniería social para acceder a través de cuentas hackeadas, evitando el bloqueo basado en reputación y desplegando prompts secundarios para entregar cargamentos.
Un caso destacado involucra una campaña sostenida contra una empresa nacional marítima e energética del Emirato Árabe Unidos, que vio cuatro oleadas de ataques desde agosto de 2025 hasta febrero de 2026. El grupo utilizó códigos de estado HTTP, tráfico UDP personalizado y la API Telegram para el control de comando (C2), así como técnicas de desarrollo maduro como código generado por IA y herramientas basadas en Rust como BlackBeard backdoor.
Palo Alto Networks recomienda protegerse contra estas amenazas utilizando sus soluciones cibernéticas avanzadas, incluyendo Cortex XDR, XSIAM, Advanced WildFire, Advanced URL Filtering y Advanced DNS Security.