‌گروه تهدیدات سایبری ایرانی معروف به MuddyWater به سنت و شیوه همیشگی آزمایش شده خود در تکیه بر ابزار‌های قانونی مدیریت از راه دور برای مدیریت سیستم‌های هدف و قربانی‌ها ادامه می‌دهد.
‌
بنا بر ادعا‌ها، در‌حالی‌که این گروه دولت-ملت قبلا از ScreenConnect، RemoteUtilities و Syncro استفاده کرده است، یک تحلیل جدید که توسط Group-IB انجام شده، استفاده این گروه از نرم‌افزار پشتیبانی از راه دور SimpleHelp در ژوئن ٢٠٢٢ را نشان می‌دهد.
‌
به نقل از این گزارش، گروه MuddyWater که حداقل از سال ٢٠١٧ فعال است، به‌عنوان یک عنصر زیرمجموعه در وزارت اطلاعات و امنیت جمهوری اسلامی (MOIS) ارزیابی می‌شود. برخی از اهداف اصلی این گروه عبارتند از ترکیه، پاکستان، امارات متحده عربی، عراق، اسرائیل، عربستان سعودی، اردن، ایالات متحده آمریکا، آذربایجان و افغانستان.
‌
نیکیتا روستوفتسف، تحلیلگر ارشد تهدید در Group-IB در ادعایی گفت : "MuddyWater از SimpleHelp، که یک ابزار قانونی کنترل و مدیریت دستگاه از راه دور است، برای اطمینان از پایداری خود در دستگاه‌های قربانی استفاده می‌کند. "
‌
وی افزود : "SimpleHelp به خطر نیفتاده و همانطور که بوده و طراحی شده، استفاده می‌شود. اما عوامل تهدید راهی برای دانلود ابزار از وب‌سایت رسمی و استفاده از آن در حملات خود پیدا کردند. "
‌

‌روش توزیع دقیق مورد استفاده برای حذف نمونه‌های SimpleHelp در حال حاضر نامشخص است، اگرچه این گروه به ارسال پیام‌های spear-phishing حاوی لینک‌های مخرب از میل‌باکس‌های شرکت‌هایی که از قبل در معرض خطر هستند، اقدام می‌نماید.
‌
طبق گفته‌ها و شنیده‌ها، یافته‌های Group-IB توسط شرکت امنیت سایبری اسلواکی ESET در اوایل ژانویه تایید شده، و جزئیات حملات MuddyWater در مصر و عربستان سعودی را که مستلزم استفاده از SimpleHelp برای استقرار ابزار تونلینگ معکوس Ligolo و یک برداشت کننده اعتبارنامه به نام MKL64 بود، نشان می‌داد.
‌
این شرکت سنگاپوری همچنین گفت که قادر است زیرساخت‌های ناشناخته‌ای را که توسط گروه اداره می‌شود و همچنین یک اسکریپت PowerShell را شناسایی کند که قادر به دریافت دستورات از یک سرور راه دور است که نتایج آن به سرور ارسال می‌شود.
‌
این افشاگری پس‌از‌آن صورت می‌گیرد که مایکروسافت روش‌های عملیاتی این گروه را برای انجام حملات مخرب به محیط‌های ترکیبی تحت پوشش یک عملیات باج‌افزار گزارش داد.