MuddyWater False Flag -kiristysohjelmahyökkäys
Iranilaisen valtion tukema uhkaryhmä MuddyWater, jota seurataan myös salanimillä Mango Sandstorm, Seedworm ja Static Kitten, on yhdistetty hienostuneeseen kiristysohjelmakampanjaan, jota tutkijat kuvailevat valehteluun perustuvaksi operaatioksi. Vaikka tunkeutuminen aluksi muistutti toimintaa, joka yhdistetään perinteiseen Chaos-kiristysohjelmabrändiä käyttävään Ransomware-as-a-Service (RaaS) -operaatioon, tarkempi analyysi paljasti piirteitä, jotka olivat yhdenmukaisia kohdennetun valtion tukeman kyberhyökkäyksen kanssa, joka oli naamioitu taloudellisesti motivoituneeksi kiristykseksi.
Alkuvuodesta 2026 tunnistettu operaatio perustui vahvasti sosiaaliseen manipulointiin Microsoft Teamsin kautta. Hyökkääjät pitivät uhrien kanssa erittäin vuorovaikutteisia vuorovaikutuskeskusteluja hyödyntäen näytönjakotoimintoa kerätäkseen tunnistetietoja ja manipuloidakseen monivaiheisia todennusprosesseja. Saatuaan käyttöoikeuden uhkatoimijat hylkäsivät perinteiset kiristysohjelmataktiikat, kuten laajamittaisen tiedostojen salauksen, ja keskittyivät sen sijaan tietojen varastamiseen, piilotettujen tietojen säilyttämiseen ja pitkäaikaiseen verkkoyhteyteen etähallintatyökalujen avulla.
Sisällysluettelo
Kyberrikollisuuden kaupankäyntiä käytetään valtion operaatioiden salaamiseen
Tutkijoiden mielestä kampanja heijastaa MuddyWaterin tarkoituksellista pyrkimystä hämärtää rikosten lähdettä ottamalla käyttöön työkaluja ja tekniikoita, jotka yleisesti yhdistetään kyberrikollisuuteen. Ryhmä on yhä enemmän integroinut toimintaansa kaupallisesti saatavilla olevia maanalaisia haittaohjelmia ja etäkäyttöjärjestelmiä, kuten CastleRAT ja Tsunderen.
Tämä taktiikka on linjassa aiempien MuddyWater-kampanjoiden kanssa, joissa vakoilua ja tuhoisaa toimintaa yhdistettiin kiristyshaittaohjelmien kaltaisiin operaatioihin. Vuonna 2020 ryhmä kohdisti iskunsa merkittäviin israelilaisiin organisaatioihin PowGoop-lataajalla ottaakseen käyttöön tuhoisan Thanos-kiristyshaittaohjelman variantin. Vuonna 2023 Microsoft yhdisti ryhmän DEV-1084:ään, DarkBit-persoonaan liittyvään toimijaan, kiristyshaittaohjelmiksi naamioitujen hyökkäysten aikana. Vuoden 2025 lopulla Iraniin kytköksissä olevien toimijoiden epäiltiin myös käyttäneen Qilin-kiristyshaittaohjelmaa Israelin valtion sairaalaa vastaan.
Turvallisuustutkijat päättelivät, että viimeisimpään kampanjaan osallistui todennäköisesti Iranin kanssa sidoksissa olevia toimijoita, jotka toimivat vakiintuneiden kyberrikollisten infrastruktuurien kautta ja pyrkivät samalla laajempiin geopoliittisiin tavoitteisiin. Qilinin käyttö ja osallistuminen kiristyshaittaohjelmien yhteistyökumppaneiden ekosysteemeihin tarjosivat todennäköisesti operatiivista suojaa, uskottavaa kiistämismahdollisuutta ja pääsyn kypsille hyökkäysominaisuuksille samalla auttaen hyökkääjiä välttämään Israelin tehostettua puolustusvalvontaa.
Chaos RaaS: Kasvava kiristysekosysteemi
Chaos syntyi vuoden 2025 alussa Ransomware-as-a-Service-operaationa, joka tunnettiin aggressiivisista kaksoiskiristystaktiikoista. Ryhmä mainosti kumppanuusohjelmaansa maanalaisilla kyberrikollisuusfoorumeilla, kuten RAMP ja RehubCom, ja laajensi nopeasti toimintansa ulottuvuutta.
Kaaos-kampanjoissa yhdistyvät usein sähköpostitulva, äänihuijaus ja Microsoft Teams -imitaatiohyökkäykset, joissa uhkatoimijat esiintyvät IT-tukihenkilöstönä. Uhreja manipuloidaan asentamaan etäkäyttösovelluksia, kuten Microsoft Quick Assist, joiden avulla hyökkääjät voivat vakiinnuttaa jalansijaa yritysympäristöissä ennen kuin laajentavat oikeuksiaan, siirtyvät sivusuunnassa ja ottavat käyttöön kiristyshaittaohjelmia.
Ryhmä on myös osoittanut yhä aggressiivisempia kiristysmalleja:
- Kaksinkertainen kiristys tietovarkauksien ja lunnaiden vaatimusten kautta
- Kolminkertainen kiristys, johon liittyy hajautettujen palvelunestohyökkäysten (DDoS) uhkauksia
- Nelinkertaiset kiristystaktiikat, joihin kuuluu uhkauksia ottaa yhteyttä asiakkaisiin, kumppaneihin tai kilpailijoihin uhrien painostamiseksi
Maaliskuuhun 2026 mennessä Chaos oli vaatinut 36 uhria vuotoalustallaan, ja useimmat organisaatiot sijaitsivat Yhdysvalloissa. Rakennus-, valmistus- ja yrityspalvelualat näyttivät olevan enimmäkseen kohteena olevia toimialat.
Tunkeutumisen anatomia
Tutkitun tunkeutumisen aikana hyökkääjät aloittivat ulkoisia Microsoft Teams -keskusteluja työntekijöiden kanssa luottamuksen saavuttamiseksi ja näytönjakokeskustelujen edistämiseksi. Vaarantuneita käyttäjätilejä hyödynnettiin sitten tiedusteluun, pysyvyyteen, sivuttaissiirtoon ja tiedon vuotamiseen.
Yhteyden muodostamisen aikana uhrijärjestelmiin hyökkääjät suorittivat tiedustelukomentoja, käyttivät VPN-tiedostoja ja ohjeistivat käyttäjiä syöttämään tunnistetiedot manuaalisesti paikallisesti luotuihin tekstiasiakirjoihin. Useissa tapauksissa AnyDesk asennettiin etäkäyttöominaisuuksien vahvistamiseksi.
Haittaohjelmat käyttivät lisäksi RDP-protokollaa (Remote Desktop Protocol) noutaakseen suoritettavan tiedoston nimeltä "ms_upd.exe" ulkoiselta palvelimelta osoitteesta 172.86.126.208 curl-apuohjelmalla. Käynnistyksen jälkeen haittaohjelma käynnisti monivaiheisen tartuntaketjun, jonka tarkoituksena oli asentaa lisää haitallisia komponentteja ja muodostaa pysyvä komento- ja hallintaviestintä.
Kampanjan takana oleva haittaohjelmien arsenaali
Tartuntaketju sisälsi useita erillisiä haittaohjelman komponentteja, jotka toimivat yhdessä ylläpitääkseen tartunnan tarttuvuutta ja suorittaakseen etäkomentoja:
- 'ms_upd.exe' (Stagecomp) keräsi järjestelmätietoja ja otti yhteyttä komento- ja ohjauspalvelimeen ladatakseen toissijaisia hyötykuormia, kuten 'game.exe', 'WebView2Loader.dll' ja 'visualwincomp.txt'.
- 'game.exe' (Darkcomp) toimi mukautettuna etäkäyttötroijalaisena, joka naamioitui lailliseksi Microsoft WebView2 -sovellukseksi, joka perustui viralliseen WebView2APISample-projektiin.
- 'WebView2Loader.dll' toimi Microsoft Edgen WebView2-toimintojen edellyttämänä laillisena riippuvuutena
- 'visualwincomp.txt' sisälsi salattuja määritystietoja, joita RAT käytti komento- ja ohjausinfrastruktuurin tunnistamiseen.
Aktiivisena olleensa etäkäyttötroijalainen kommunikoi jatkuvasti komentopalvelimensa kanssa 60 sekunnin välein, minkä ansiosta operaattorit pystyivät suorittamaan PowerShell-skriptejä, järjestelmäkomentoja, käsittelemään tiedostoja ja käynnistämään interaktiivisia komentorivisessioita.
Todisteet operaation yhdistämisestä MuddyWateriin
MuddyWaterin syyllisyyttä vahvisti löydetty 'Donald Gayyn' liittyvä koodin allekirjoitusvarmenne, jota käytettiin 'ms_upd.exe'-haittaohjelmanäytteen allekirjoittamiseen. Sama varmenne oli aiemmin yhdistetty MuddyWater-haittaohjelmaan, mukaan lukien CastleLoader-latausohjelman variantti nimeltä Fakeset.
Tutkijat totesivat, että operaatio osoitti merkittävää lähentymistä valtion tukeman vakoilutoiminnan ja kyberrikollisten operatiivisten menetelmien välillä. Kiristyshaittaohjelmien brändäyksen, kiristysneuvottelujen ja kaupallisesti saatavilla olevien haittaohjelmakehysten integrointi monimutkaisti attribuutiopyrkimyksiä ja ohjasi puolustuksen huomion välittömiin lunnasvaatimusten käsittelytoimiin pikemminkin kuin etäkäyttötyökalujen avulla luotuihin pitkäaikaisiin pysyvyysmekanismeihin.
Miksi hyökkäys erottui joukosta
Yksi kampanjan epätavallisimmista puolista oli tiedostojen laajamittaisen salauksen ilmeinen puuttuminen Chaos-kiristyshaittaohjelman artefakteista huolimatta. Tämä poikkeama kiristyshaittaohjelman tavanomaisesta toiminnasta viittaa vahvasti siihen, että kiristyshaittaohjelmakomponentti toimi ensisijaisesti naamiointina tai operatiivisena harhaanjohtamisena eikä ensisijaisena tehtävän tavoitteena.
Kampanja korostaa myös kasvavaa trendiä iranilaisten uhkatoimijoiden keskuudessa sisällyttää kyberrikollisuuden työkaluja valtion johtamiin operaatioihin. Hyödyntämällä olemassa olevia maanalaisia infrastruktuureja ja haittaohjelmaekosysteemejä ryhmät, kuten MuddyWater, saavat suurempaa operatiivista joustavuutta, vähentävät sisäisiä kehityskustannuksia ja monimutkaistavat merkittävästi sekä puolustajien että tiedusteluanalyytikoiden attribuutiopyrkimyksiä.
