Se cree que este grupo de ciberespionaje (MuddyWater) está fuera de Irán y es conocido por apuntar a proveedores de telecomunicaciones y agencias gubernamentales en el Medio Oriente. Este grupo ha incrementado su arsenal de malware desde su creación en 2017 o al menos se cree que está activo desde esa fecha. Este grupo es conocido por crear software para atacar dispositivos Android, así como por crear nuevo malware de puerta trasera para espiar a sus objetivos, y también han sido descubiertos usando tácticas de bandera falsa para engañar a los investigadores.
Además, en sus recientes actividades maliciosas, MuddyWater llevó a cabo eventos en Oriente Medio y sus alrededores en los que utilizó las herramientas de gestión remota ScreenConnect y RemoteUtilities. Los investigadores que descubrieron esta amenaza llamada Trend Micro llamaron a estas herramientas de intrusión Earth Vetala.
Earth Vetala utiliza correos electrónicos lanzados con enlaces integrados que apuntan a servicios legítimos para compartir archivos y se utilizan para distribuir paquetes de software malicioso. Los enlaces están incrustados en documentos señuelo y correos electrónicos, y los investigadores notaron que las estrategias y técnicas utilizadas en las dos campañas para distribuir RemoteUtilities y ScreenConnect eran aproximadamente similares. Afirmaron que los objetivos de la nueva campaña eran principalmente organizaciones ubicadas en Azerbaiyán, Bahrein, Israel, Arabia Saudita y los Emiratos Árabes Unidos.