Útok ransomwaru MuddyWater pod falešnou vlajkou
Íránská státem sponzorovaná skupina hackerských útoků MuddyWater, sledovaná také pod přezdívkami Mango Sandstorm, Seedworm a Static Kitten, byla spojována se sofistikovanou ransomwarovou kampaní, kterou vyšetřovatelé popisují jako operaci pod falešnou vlajkou. Ačkoli se útok zpočátku podobal aktivitě spojené s konvenční operací Ransomware-as-a-Service (RaaS) s využitím značky ransomwaru Chaos, hlubší analýza odhalila charakteristiky odpovídající cílenému státem sponzorovanému kybernetickému útoku maskovanému jako finančně motivované vydírání.
Operace, identifikovaná začátkem roku 2026, se silně spoléhala na sociální inženýrství prostřednictvím Microsoft Teams. Útočníci s oběťmi vedli vysoce interaktivní komunikační relace, využívali funkci sdílení obrazovky k získávání přihlašovacích údajů a manipulaci s procesy vícefaktorového ověřování. Po získání přístupu útočníci opustili tradiční taktiky ransomwaru, jako je šifrování souborů ve velkém měřítku, a místo toho se zaměřili na krádež dat, nenápadné vytrvalostní útoky a dlouhodobý přístup k síti prostřednictvím nástrojů pro vzdálenou správu.
Obsah
Kyberkriminalita a obchod s kybernetickými zločiny využívané k zatajování státních operací
Výzkumníci se domnívají, že kampaň odráží úmyslné úsilí skupiny MuddyWater o zamlžení atribuce pomocí nástrojů a technik běžně spojovaných s ekosystémy kybernetické kriminality. Skupina do svých operací stále více integruje komerčně dostupný podzemní malware a frameworky pro vzdálený přístup, včetně nástrojů jako CastleRAT a Tsundere.
Tato taktika je v souladu s předchozími kampaněmi MuddyWater, které kombinovaly špionáž a destruktivní aktivity s operacemi ve stylu ransomwaru. V roce 2020 se skupina zaměřila na velké izraelské organizace pomocí zavaděče PowGoop k nasazení destruktivní varianty ransomwaru Thanos. V roce 2023 společnost Microsoft propojila skupinu s DEV-1084, aktérem spojeným s personou DarkBit, během útoků maskovaných jako incidenty ransomwaru. Koncem roku 2025 byli operátoři propojení s Íránem také podezřelí z použití ransomwaru Qilin proti izraelské vládní nemocnici.
Bezpečnostní výzkumníci dospěli k závěru, že nejnovější kampaň pravděpodobně zahrnovala operátory napojené na Írán, kteří operovali prostřednictvím zavedených kyberzločinných infrastruktur a zároveň sledovali širší geopolitické cíle. Využití Qilinu a účast v ekosystémech přidružených k ransomwaru pravděpodobně poskytovaly operační krytí, věrohodné možnosti popírání a přístup k rozvinutým útočným schopnostem a zároveň útočníkům pomáhaly vyhnout se zvýšenému izraelskému obrannému monitorování.
Chaos RaaS: Rostoucí ekosystém vydírání
Chaos se objevil na začátku roku 2025 jako operace typu Ransomware-as-a-Service (Ransomware jako služba), známá agresivními taktikami dvojitého vydírání. Skupina propagovala svůj partnerský program na podzemních fórech o kyberkriminalitě, jako jsou RAMP a RehubCom, a rychle rozšířila svůj operační dosah.
Chaos kampaně běžně kombinují zahlcení e-maily, phishing s hlasovou identifikací a útoky vydávající se za pracovníky IT podpory v Microsoft Teams. Oběti jsou manipulovány k instalaci aplikací pro vzdálený přístup, jako je Microsoft Quick Assist, což útočníkům umožňuje vybudovat si oporu v podnikovém prostředí a poté eskalovat oprávnění, přesouvat se laterálně a nasazovat ransomware.
Skupina také prokázala stále agresivnější modely vydírání:
- Dvojité vydírání prostřednictvím krádeže dat a požadavků na výkupné
- Trojité vydírání zahrnující hrozby distribuovaných útoků typu denial-of-service (DDoS)
- Čtyřnásobné vydírací taktiky, které zahrnují hrozby kontaktování zákazníků, partnerů nebo konkurentů za účelem zesílení tlaku na oběti
Do března 2026 si Chaos na své platformě pro úniky informací vyžádal 36 obětí, přičemž většina organizací sídlila ve Spojených státech. Mezi nejvíce cílenými odvětvími se objevily sektory stavebnictví, výroby a obchodních služeb.
Anatomie vniknutí
Během vyšetřovaného narušení útočníci iniciovali externí konverzace se zaměstnanci v aplikaci Microsoft Teams, aby získali důvěru a povzbudili je ke sdílení obrazovky. Napadené uživatelské účty byly následně zneužity k průzkumu, persistenci, laterálnímu přesunu a úniku dat.
Během připojení k oběťovým systémům útočníci prováděli průzkumné příkazy, přistupovali k souborům souvisejícím s VPN a instruovali uživatele k ručnímu zadávání přihlašovacích údajů do lokálně vytvořených textových dokumentů. V několika případech byl za účelem posílení možností vzdáleného přístupu nainstalován AnyDesk.
Útočníci dále použili protokol RDP (Remote Desktop Protocol) k načtení spustitelného souboru s názvem „ms_upd.exe“ z externího serveru s adresou 172.86.126.208 pomocí utility curl. Po spuštění malware spustil vícestupňový infekční řetězec, jehož cílem bylo nasadit další škodlivé komponenty a navázat trvalou komunikaci typu „command-and-control“.
Arsenál malwaru stojící za kampaní
Řetězec infekce zahrnoval několik odlišných komponent malwaru, které spolupracovaly na udržení perzistence a provádění vzdálených příkazů:
- Soubor „ms_upd.exe“ (Stagecomp) shromáždil systémové informace a kontaktoval velitelský server, aby stáhl sekundární datové soubory, včetně souborů „game.exe“, „WebView2Loader.dll“ a „visualwincomp.txt“.
- Soubor „game.exe“ (Darkcomp) fungoval jako vlastní trojský kůň pro vzdálený přístup maskovaný jako legitimní aplikace Microsoft WebView2 založená na oficiálním projektu WebView2APISample.
- Soubor „WebView2Loader.dll“ sloužil jako legitimní závislost vyžadovaná pro funkčnost aplikace Microsoft Edge WebView2.
- Soubor „visualwincomp.txt“ obsahoval šifrovaná konfigurační data používaná RAT k identifikaci infrastruktury velení a řízení.
Jakmile byl trojský kůň pro vzdálený přístup aktivní, nepřetržitě komunikoval se svým příkazovým serverem každých 60 sekund, což operátorům umožňovalo spouštět skripty PowerShellu, systémové příkazy, manipulovat se soubory a spouštět interaktivní relace příkazového řádku.
Důkazy spojující operaci s MuddyWater
Atribuce k MuddyWater byla posílena objevem certifikátu pro podepisování kódu spojeného s „Donaldem Gayem“, který byl použit k podepsání vzorku malwaru „ms_upd.exe“. Stejný certifikát byl dříve spojován s malwarem MuddyWater, včetně varianty stahovacího programu CastleLoader známé jako Fakeset.
Výzkumníci poznamenali, že operace prokázala významnou konvergenci mezi státem sponzorovanou špionážní aktivitou a operačními metodami kyberzločinců. Integrace brandingu ransomwaru, vyjednávání o vydírání a komerčně dostupných malwarových frameworků zkomplikovala úsilí o atribuci a odklonila obrannou pozornost k okamžitým aktivitám v oblasti výkupného spíše než k dlouhodobým mechanismům zavedeným prostřednictvím nástrojů pro vzdálený přístup.
Proč útok vyčníval
Jedním z nejneobvyklejších aspektů kampaně byla zjevná absence rozšířeného šifrování souborů navzdory použití artefaktů ransomwaru Chaos. Tato odchylka od standardního chování ransomwaru silně naznačuje, že složka ransomwaru fungovala primárně jako kamufláž nebo operační odvedení pozornosti, spíše než jako primární cíl mise.
Kampaň rovněž zdůrazňuje rostoucí trend mezi íránskými aktéry hrozeb začleňovat nástroje pro kyberkriminalitu do státem řízených operací. Využitím stávajících podzemních infrastruktur a ekosystémů malwaru získávají skupiny jako MuddyWater větší operační flexibilitu, snižují interní náklady na vývoj a výrazně komplikují atribuční úsilí jak pro obránce, tak pro analytiky zpravodajských služeb.
