Rabattilbud med flere licenser
Trusseldatabase Malware MuddyWater False Flag Ransomware-angreb

MuddyWater False Flag Ransomware-angreb

Med Mezo i Malware, Advanced Persistent Threat (APT)
Oversæt til:

Den iranske statsstøttede trusselgruppe MuddyWater, der også spores under aliasser som Mango Sandstorm, Seedworm og Static Kitten, er blevet forbundet med en sofistikeret ransomware-kampagne, som efterforskere beskriver som en false-flag-operation. Selvom indtrængen i starten lignede aktivitet forbundet med en konventionel Ransomware-as-a-Service (RaaS)-operation ved hjælp af Chaos ransomware-mærket, afslørede en dybere analyse karakteristika, der stemmer overens med et målrettet statsstøttet cyberangreb forklædt som økonomisk motiveret afpresning.

Operationen, der blev identificeret i begyndelsen af 2026, var i høj grad afhængig af social engineering via Microsoft Teams. Angriberne gennemførte meget interaktive engagementssessioner med ofrene og udnyttede skærmdelingsfunktionalitet til at indsamle legitimationsoplysninger og manipulere multifaktorgodkendelsesprocesser. Efter at have opnået adgang opgav trusselsaktørerne traditionelle ransomware-taktikker såsom storstilet filkryptering og fokuserede i stedet på datatyveri, skjult persistens og langvarig netværksadgang via fjernadministrationsværktøjer.

Cyberkriminalitetshandel bruges til at skjule statslige operationer

Forskere mener, at kampagnen afspejler en bevidst indsats fra MuddyWaters side for at skjule årsagerne til tilskrivningen ved at anvende værktøjer og teknikker, der almindeligvis forbindes med cyberkriminelle økosystemer. Gruppen har i stigende grad integreret kommercielt tilgængelig underjordisk malware og fjernadgangsrammer i sine operationer, herunder værktøjer som CastleRAT og Tsundere.

Denne taktik stemmer overens med tidligere MuddyWater-kampagner, der blandede spionage og destruktiv aktivitet med ransomware-lignende operationer. I 2020 målrettede gruppen store israelske organisationer ved hjælp af PowGoop-loaderen til at implementere en destruktiv variant af Thanos ransomware. I 2023 forbandt Microsoft gruppen med DEV-1084, en aktør forbundet med DarkBit-personaen, under angreb forklædt som ransomware-hændelser. I slutningen af 2025 var iransk-tilknyttede operatører også mistænkt for at bruge Qilin ransomware mod et israelsk regeringshospital.

Sikkerhedsforskere konkluderede, at den seneste kampagne sandsynligvis involverede iransk-tilknyttede operatører, der opererede gennem etablerede cyberkriminelle infrastrukturer, mens de forfulgte bredere geopolitiske mål. Brugen af Qilin og deltagelse i ransomware-tilknyttede økosystemer gav sandsynligvis operationel dækning, plausibel benægtelse og adgang til modne angrebskapaciteter, samtidig med at det hjalp angriberne at undgå øget israelsk defensiv overvågning.

Chaos RaaS: Et voksende afpresningsøkosystem

Chaos opstod i starten af 2025 som en Ransomware-as-a-Service-operation kendt for aggressive dobbeltafpresningstaktikker. Gruppen promoverede sit affiliateprogram på undergrundsfora for cyberkriminalitet som RAMP og RehubCom og udvidede hurtigt sin operationelle rækkevidde.

Kaoskampagner kombinerer ofte e-mail-oversvømmelser, stemme-phishing og Microsoft Teams-efterligningsangreb, hvor trusselsaktører udgiver sig for at være IT-supportmedarbejdere. Ofrene manipuleres til at installere fjernadgangsprogrammer som Microsoft Quick Assist, hvilket gør det muligt for angribere at etablere fodfæste i virksomhedsmiljøer, før de eskalerer privilegier, bevæger sig sidelæns og implementerer ransomware-nyttelaster.

Gruppen har også demonstreret stadig mere aggressive afpresningsmodeller:

  • Dobbelt afpresning gennem datatyveri og krav om løsepenge
  • Tredobbelt afpresning involverer trusler om distribuerede denial-of-service (DDoS)-angreb
  • Firedobbelte afpresningstaktikker, der inkluderer trusler om at kontakte kunder, partnere eller konkurrenter for at intensivere presset på ofrene

I marts 2026 havde Chaos kostet 36 ofre på sin lækageplatform, hvoraf de fleste organisationer var placeret i USA. Bygge-, fremstillings- og forretningsservicesektorerne syntes at være blandt de mest målrettede brancher.

Indtrængningens anatomi

Under den undersøgte indtrængen indledte angriberne eksterne Microsoft Teams-samtaler med medarbejdere for at opnå tillid og opfordre til skærmdeling. Kompromitterede brugerkonti blev derefter udnyttet til rekognoscering, persistens, lateral bevægelse og dataudvinding.

Mens angriberne var forbundet med ofrenes systemer, udførte de rekognosceringskommandoer, tilgik VPN-relaterede filer og instruerede brugerne i manuelt at indtaste legitimationsoplysninger i lokalt oprettede tekstdokumenter. I flere tilfælde blev AnyDesk installeret for at styrke fjernadgangsfunktionerne.

Trusselaktørerne brugte desuden Remote Desktop Protocol (RDP) til at hente en eksekverbar fil med navnet "ms_upd.exe" fra den eksterne serveradresse 172.86.126.208 ved hjælp af curl-værktøjet. Når malwaren var lanceret, startede den en flertrinsinfektionskæde designet til at implementere yderligere ondsindede komponenter og etablere vedvarende kommando- og kontrolkommunikation.

Malware-arsenalet bag kampagnen

Infektionskæden inkorporerede flere forskellige malware-komponenter, der arbejdede sammen for at opretholde persistens og udføre fjernkommandoer:

  • 'ms_upd.exe' (Stagecomp) indsamlede systemoplysninger og kontaktede en kommando- og kontrolserver for at downloade sekundære nyttelaster, herunder 'game.exe', 'WebView2Loader.dll' og 'visualwincomp.txt'.
  • 'game.exe' (Darkcomp) fungerede som en brugerdefineret fjernadgangstrojan, der forklædte sig som et legitimt Microsoft WebView2-program baseret på det officielle WebView2APISample-projekt.
  • 'WebView2Loader.dll' fungerede som en legitim afhængighed, der kræves for Microsoft Edge WebView2-funktionalitet
  • 'visualwincomp.txt' indeholdt krypterede konfigurationsdata, der blev brugt af RAT til at identificere kommando- og kontrolinfrastruktur

Når den var aktiv, kommunikerede trojaneren for fjernadgang kontinuerligt med sin kommandoserver hvert 60. sekund, hvilket gjorde det muligt for operatører at udføre PowerShell-scripts, køre systemkommandoer, manipulere filer og starte interaktive kommandolinjesessioner.

Beviser, der forbinder operationen med MuddyWater

Tilskrivelsen til MuddyWater blev styrket gennem opdagelsen af et kodesigneringscertifikat tilknyttet 'Donald Gay', som blev brugt til at signere malware-eksemplet 'ms_upd.exe'. Det samme certifikat var tidligere blevet knyttet til MuddyWater-malware, herunder en CastleLoader-downloader-variant kendt som Fakeset.

Forskerne bemærkede, at operationen viste en betydelig konvergens mellem statsstøttet spionageaktivitet og cyberkriminelle operationelle metoder. Integrationen af ransomware-branding, afpresningsforhandlinger og kommercielt tilgængelige malware-rammer komplicerede tilskrivningsindsatsen og afledte den defensive opmærksomhed mod øjeblikkelige løsesumsindsatser i stedet for langsigtede vedholdenhedsmekanismer etableret gennem fjernadgangsværktøjer.

Hvorfor angrebet skilte sig ud

Et af de mest usædvanlige aspekter ved kampagnen var den tilsyneladende mangel på udbredt filkryptering på trods af brugen af Chaos ransomware-artefakter. Denne afvigelse fra standard ransomware-adfærd tyder stærkt på, at ransomware-komponenten primært fungerede som camouflage eller operationel vildledning snarere end det primære missionsmål.

Kampagnen fremhæver også en voksende tendens blandt iranske trusselsaktører til at inkorporere cyberkriminalitetsværktøjer i statsstyrede operationer. Ved at udnytte eksisterende underjordiske infrastrukturer og malware-økosystemer opnår grupper som MuddyWater større operationel fleksibilitet, reducerer interne udviklingsomkostninger og komplicerer tilskrivningsindsatsen betydeligt for både forsvarere og efterretningsanalytikere.

Trending

Mest sete

Indlæser...