Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Atac de ransomware de falsa bandera de MuddyWater

Atac de ransomware de falsa bandera de MuddyWater

El Mezo el Programari maliciós, Amenaça persistent avançada (APT)
Traduir a:

El grup d'amenaces patrocinat per l'estat iranià MuddyWater, també rastrejat sota àlies com Mango Sandstorm, Seedworm i Static Kitten, ha estat vinculat a una sofisticada campanya de ransomware que els investigadors descriuen com una operació de falsa bandera. Tot i que la intrusió inicialment s'assemblava a una activitat associada amb una operació convencional de ransomware com a servei (RaaS) que utilitza la marca de ransomware Chaos, una anàlisi més profunda va revelar característiques consistents amb un ciberatac dirigit patrocinat per l'estat disfressat d'extorsió amb motivació financera.

L'operació, identificada a principis del 2026, es basava en gran mesura en l'enginyeria social a través de Microsoft Teams. Els atacants van dur a terme sessions d'interacció altament interactives amb les víctimes, aprofitant la funcionalitat de compartició de pantalla per recopilar credencials i manipular processos d'autenticació multifactor. Després d'obtenir accés, els actors amenaçadors van abandonar les tàctiques tradicionals de ransomware, com ara el xifratge d'arxius a gran escala, i en canvi es van centrar en el robatori de dades, la persistència furtiva i l'accés a la xarxa a llarg termini a través d'eines de gestió remota.

Ciberdelinqüència utilitzada per ocultar operacions estatals

Els investigadors creuen que la campanya reflecteix un esforç deliberat de MuddyWater per ocultar l'atribució mitjançant l'adopció d'eines i tècniques comunament associades amb els ecosistemes ciberdelinqüents. El grup ha integrat cada cop més programari maliciós clandestí disponible comercialment i marcs d'accés remot a les seves operacions, incloent-hi eines com CastleRAT i Tsundere.

Aquesta tàctica s'alinea amb campanyes anteriors de MuddyWater que combinaven espionatge i activitat destructiva amb operacions d'estil ransomware. El 2020, el grup va atacar importants organitzacions israelianes utilitzant el carregador PowGoop per desplegar una variant destructiva del ransomware Thanos. El 2023, Microsoft va vincular el grup amb DEV-1084, un actor associat amb la personalitat DarkBit, durant atacs disfressats d'incidents de ransomware. A finals del 2025, també es va sospitar que operadors vinculats a l'Iran utilitzaven el ransomware Qilin contra un hospital governamental israelià.

Els investigadors de seguretat van concloure que la darrera campanya probablement implicava operadors afiliats a l'Iran que operaven a través d'infraestructures ciberdelinqüents establertes mentre perseguien objectius geopolítics més amplis. L'ús de Qilin i la participació en ecosistemes afiliats a ransomware probablement van proporcionar cobertura operativa, negació plausible i accés a capacitats d'atac madures, alhora que ajudaven els atacants a evadir la vigilància defensiva israeliana més intensa.

Chaos RaaS: Un ecosistema d’extorsió en creixement

Chaos va sorgir a principis del 2025 com una operació de ransomware com a servei coneguda per les seves tàctiques agressives de doble extorsió. El grup va promocionar el seu programa d'afiliats en fòrums clandestins de ciberdelinqüència com ara RAMP i RehubCom i va ampliar ràpidament el seu abast operatiu.

Les campanyes de caos solen combinar inundacions de correu electrònic, phishing de veu i atacs d'impersonació de Microsoft Teams en què els actors amenaçadors es fan passar per personal de suport informàtic. Les víctimes són manipulades per instal·lar aplicacions d'accés remot com ara Microsoft Quick Assist, cosa que permet als atacants establir punts de suport dins dels entorns corporatius abans d'escalar privilegis, moure's lateralment i implementar càrregues de ransomware.

El grup també ha demostrat models d'extorsió cada cop més agressius:

  • Doble extorsió mitjançant robatori de dades i demandes de rescat
  • Triple extorsió amb amenaces d'atacs de denegació de servei distribuït (DDoS)
  • Tàctiques d'extorsió quàdruples que inclouen amenaces de contactar amb clients, socis o competidors per intensificar la pressió sobre les víctimes

El març del 2026, Chaos havia causat 36 víctimes a la seva plataforma de filtracions, la majoria de les quals es trobaven als Estats Units. Els sectors de la construcció, la indústria manufacturera i els serveis empresarials van aparèixer entre els més objectiu.

Anatomia de la intrusió

Durant la intrusió investigada, els atacants van iniciar converses externes de Microsoft Teams amb els empleats per guanyar-se la confiança i fomentar sessions de compartició de pantalla. Els comptes d'usuari compromesos es van aprofitar per a reconeixement, persistència, moviment lateral i exfiltració de dades.

Mentre estaven connectats als sistemes de les víctimes, els atacants executaven ordres de reconeixement, accedien a fitxers relacionats amb VPN i indicaven als usuaris que introduïssin manualment les credencials en documents de text creats localment. En diversos casos, es va instal·lar AnyDesk per reforçar les capacitats d'accés remot.

Els actors amenaçadors també van utilitzar el Protocol d'escriptori remot (RDP) per recuperar un executable anomenat "ms_upd.exe" de l'adreça del servidor extern 172.86.126.208 mitjançant la utilitat curl. Un cop llançat, el programari maliciós va iniciar una cadena d'infecció de diverses etapes dissenyada per implementar components maliciosos addicionals i establir comunicacions de comandament i control persistents.

Arsenal de programari maliciós darrere de la campanya

La cadena d'infecció incorporava diversos components de programari maliciós que treballaven conjuntament per mantenir la persistència i executar ordres remotes:

  • 'ms_upd.exe' (Stagecomp) va recopilar informació del sistema i va contactar amb un servidor de comandament i control per descarregar càrregues secundàries, com ara 'game.exe', 'WebView2Loader.dll' i 'visualwincomp.txt'.
  • 'game.exe' (Darkcomp) funcionava com un troià d'accés remot personalitzat que es feia passar per una aplicació legítima de Microsoft WebView2 basada en el projecte oficial WebView2APISample.
  • "WebView2Loader.dll" servia com a dependència legítima necessària per a la funcionalitat WebView2 de Microsoft Edge.
  • 'visualwincomp.txt' contenia dades de configuració xifrades que utilitzava el RAT per identificar la infraestructura de comandament i control.

Un cop actiu, el troià d'accés remot es comunicava contínuament amb el seu servidor d'ordres cada 60 segons, permetent als operadors executar scripts de PowerShell, executar ordres del sistema, manipular fitxers i generar sessions interactives de línia d'ordres.

Proves que vinculen l’operació amb MuddyWater

L'atribució a MuddyWater es va reforçar mitjançant el descobriment d'un certificat de signatura de codi associat amb "Donald Gay", que es va utilitzar per signar la mostra de programari maliciós "ms_upd.exe". El mateix certificat s'havia vinculat anteriorment al programari maliciós MuddyWater, inclosa una variant de descàrrega de CastleLoader coneguda com a Fakeset.

Els investigadors van observar que l'operació va demostrar una convergència significativa entre l'activitat d'espionatge patrocinada per l'estat i els mètodes operatius dels ciberdelinqüents. La integració de la marca de ransomware, les negociacions d'extorsió i els marcs de programari maliciós disponibles comercialment va complicar els esforços d'atribució i va desviar l'atenció defensiva cap a activitats de resposta immediata a rescats en lloc dels mecanismes de persistència a llarg termini establerts mitjançant eines d'accés remot.

Per què l’atac va destacar

Un dels aspectes més inusuals de la campanya va ser l'aparent absència de xifratge d'arxius generalitzat malgrat l'ús d'artefactes del ransomware Chaos. Aquesta desviació del comportament estàndard del ransomware suggereix fermament que el component del ransomware va funcionar principalment com a camuflatge o desviació operativa en lloc de l'objectiu principal de la missió.

La campanya també destaca una tendència creixent entre els actors d'amenaces iranians a incorporar eines de ciberdelinqüència en operacions dirigides per l'estat. Aprofitant les infraestructures clandestines existents i els ecosistemes de programari maliciós, grups com MuddyWater obtenen una major flexibilitat operativa, redueixen els costos de desenvolupament intern i compliquen significativament els esforços d'atribució tant per a defensors com per a analistes d'intel·ligència.

Tendència

Més vist

Carregant...