MuddyWater атака с фалшив флаг за рансъмуер

Иранската спонсорирана от държавата група за хакерски атаки MuddyWater, проследявана и под псевдоними като Mango Sandstorm, Seedworm и Static Kitten, е свързана със сложна кампания за рансъмуер, която разследващите описват като операция под фалшив флаг. Въпреки че проникването първоначално е наподобявало дейност, свързана с конвенционална операция „рансъмуер като услуга“ (RaaS), използваща марката рансъмуер Chaos, по-задълбоченият анализ разкри характеристики, съответстващи на целенасочена спонсорирана от държавата кибератака, прикрита като финансово мотивирано изнудване.

Операцията, идентифицирана в началото на 2026 г., разчиташе до голяма степен на социално инженерство чрез Microsoft Teams. Нападателите провеждаха интерактивни сесии за взаимодействие с жертвите, използвайки функционалността за споделяне на екрана, за да събират идентификационни данни и да манипулират процесите на многофакторно удостоверяване. След получаване на достъп, злонамерените лица изоставиха традиционните тактики за рансъмуер, като например мащабно криптиране на файлове, и вместо това се фокусираха върху кражба на данни, скрито запазване на данни и дългосрочен достъп до мрежата чрез помощни програми за дистанционно управление.

Киберпрестъпления, използвани за прикриване на държавни операции

Изследователите смятат, че кампанията отразява умишлени усилия на MuddyWater да прикрие атрибуцията чрез използване на инструменти и техники, често свързани с киберпрестъпни екосистеми. Групата все повече интегрира в своите операции достъпен в търговската мрежа подземен зловреден софтуер и рамки за отдалечен достъп, включително инструменти като CastleRAT и Tsundere.

Тази тактика е в съответствие с предишни кампании на MuddyWater, които смесваха шпионаж и разрушителна дейност с операции в стил ransomware. През 2020 г. групата се насочи към големи израелски организации, използвайки PowGoop loader, за да внедри разрушителен вариант на ransomware Thanos. През 2023 г. Microsoft свърза групата с DEV-1084, актьор, свързан с личността DarkBit, по време на атаки, маскирани като инциденти с ransomware. Към края на 2025 г. свързани с Иран оператори също бяха заподозрени в използване на ransomware Qilin срещу израелска правителствена болница.

Изследователите по сигурността стигнаха до заключението, че последната кампания вероятно е включвала свързани с Иран оператори, действащи чрез установени киберкриминални инфраструктури, докато преследват по-широки геополитически цели. Използването на Qilin и участието в екосистеми, свързани с ransomware, вероятно са осигурили оперативно прикритие, правдоподобно отричане и достъп до зрели възможности за атака, като същевременно са помогнали на нападателите да избегнат засиленото израелско отбранително наблюдение.

Chaos RaaS: Разрастваща се екосистема за изнудване

Chaos се появи в началото на 2025 г. като операция „Ransomware-as-a-Service“, известна с агресивни тактики за двойно изнудване. Групата промотира своята партньорска програма в подземни форуми за киберпрестъпления като RAMP и RehubCom и бързо разшири оперативния си обхват.

Хаос кампаниите обикновено комбинират наводняване с имейли, фишинг с гласова идентификация и атаки под чужда самоличност, използващи Microsoft Teams, при които злонамерените лица се представят за ИТ персонал по поддръжка. Жертвите са манипулирани да инсталират приложения за отдалечен достъп, като Microsoft Quick Assist, което позволява на атакуващите да установят позиции в корпоративна среда, преди да ескалират привилегиите си, да се движат странично и да внедрят ransomware.

Групата демонстрира и все по-агресивни модели на изнудване:

• Двойно изнудване чрез кражба на данни и искания за откуп
• Тройно изнудване, включващо заплахи от разпределени атаки тип „отказ от услуга“ (DDoS)
• Четворни тактики за изнудване, които включват заплахи за контакт с клиенти, партньори или конкуренти, за да се засили натискът върху жертвите

До март 2026 г. Chaos е отнела 36 жертви на своята платформа за изтичане на информация, като повечето организации са разположени в Съединените щати. Секторите на строителството, производството и бизнес услугите се оказват сред най-силно засегнатите индустрии.

Анатомия на проникването

По време на разследваното проникване, нападателите са инициирали външни разговори в Microsoft Teams със служители, за да спечелят доверие и да насърчат сесии за споделяне на екрана. След това компрометирани потребителски акаунти са били използвани за разузнаване, запазване на данни, странично движение и изтичане на данни.

Докато са били свързани със системите на жертвите, нападателите са изпълнявали разузнавателни команди, са осъществявали достъп до файлове, свързани с VPN, и са инструктирали потребителите ръчно да въвеждат идентификационни данни в локално създадени текстови документи. В няколко случая AnyDesk е бил инсталиран, за да се подобрят възможностите за отдалечен достъп.

Злонамерените лица допълнително са използвали протокола за отдалечен работен плот (RDP), за да извлекат изпълним файл с име „ms_upd.exe“ от външния сървър с адрес 172.86.126.208, използвайки помощната програма curl. След стартирането си, злонамереният софтуер е инициирал многоетапна верига от инфекции, предназначена да внедри допълнителни злонамерени компоненти и да установи постоянни комуникации за командване и контрол.

Арсеналът от зловреден софтуер зад кампанията

Веригата за заразяване включваше няколко отделни компонента на зловредния софтуер, които работеха заедно, за да поддържат устойчивостта на вируса и да изпълняват отдалечени команди:

• „ms_upd.exe“ (Stagecomp) е събрал системна информация и е осъществил връзка със сървър за командно-контролни операции, за да изтегли вторични полезни товари, включително „game.exe“, „WebView2Loader.dll“ и „visualwincomp.txt“.
• „game.exe“ (Darkcomp) функционираше като персонализиран троянски кон за отдалечен достъп, маскиран като легитимно приложение на Microsoft WebView2, базирано на официалния проект WebView2APISample.

• „WebView2Loader.dll“ служи като легитимна зависимост, необходима за функционалността на Microsoft Edge WebView2

• „visualwincomp.txt“ съдържаше криптирани конфигурационни данни, използвани от RAT за идентифициране на инфраструктурата за командване и контрол.

След като се активира, троянският кон за отдалечен достъп непрекъснато комуникира със своя команден сървър на всеки 60 секунди, позволявайки на операторите да изпълняват PowerShell скриптове, системни команди, да манипулират файлове и да стартират интерактивни сесии от командния ред.

Доказателства, свързващи операцията с MuddyWater

Приписването на MuddyWater беше подсилено чрез откриването на сертификат за подписване на код, свързан с „Donald Gay“, който е бил използван за подписване на пробата на зловредния софтуер „ms_upd.exe“. Същият сертификат преди това е бил свързан със зловредния софтуер MuddyWater, включително вариант на CastleLoader за изтегляне, известен като Fakeset.

Изследователите отбелязаха, че операцията демонстрира значително сближаване между спонсорираната от държавата шпионска дейност и оперативните методи на киберпрестъпниците. Интегрирането на брандирането на ransomware, преговорите за изнудване и търговски достъпните рамки за зловреден софтуер усложни усилията за атрибуция и отклони защитното внимание към незабавни дейности за отговор на откуп, а не към дългосрочни механизми за устойчивост, установени чрез инструменти за отдалечен достъп.

Защо атаката се открои

Един от най-необичайните аспекти на кампанията беше очевидната липса на широко разпространено криптиране на файлове, въпреки използването на артефакти на рансъмуер вируса Chaos. Това отклонение от стандартното поведение на рансъмуер вируса силно подсказва, че рансъмуер компонентът е функционирал предимно като камуфлаж или оперативно заблуждение, а не като основна цел на мисията.

Кампанията също така подчертава нарастващата тенденция сред иранските хакери да включват инструменти за киберпрестъпления в държавните операции. Чрез използване на съществуващите подземни инфраструктури и екосистеми от зловреден софтуер, групи като MuddyWater получават по-голяма оперативна гъвкавост, намаляват вътрешните разходи за разработка и значително усложняват усилията за атрибуция както за защитниците, така и за разузнавателните анализатори.