Preventivo sconto multi-licenza
Database delle minacce Malware Attacco ransomware sotto falsa bandiera di MuddyWater

Attacco ransomware sotto falsa bandiera di MuddyWater

Entro Mezo nel Malware, Minaccia persistente avanzata (APT)
Traduci in:

Il gruppo di hacker MuddyWater, sponsorizzato dallo stato iraniano e noto anche con pseudonimi come Mango Sandstorm, Seedworm e Static Kitten, è stato collegato a una sofisticata campagna ransomware che gli investigatori descrivono come un'operazione sotto falsa bandiera. Sebbene l'intrusione inizialmente sembrasse un'attività tipica di un'operazione Ransomware-as-a-Service (RaaS) convenzionale che utilizza il ransomware Chaos, un'analisi più approfondita ha rivelato caratteristiche coerenti con un attacco informatico mirato, sponsorizzato dallo stato e mascherato da estorsione a scopo di lucro.

L'operazione, identificata all'inizio del 2026, si è basata in gran parte sull'ingegneria sociale tramite Microsoft Teams. Gli aggressori hanno condotto sessioni di interazione altamente interattive con le vittime, sfruttando la funzionalità di condivisione dello schermo per raccogliere le credenziali e manipolare i processi di autenticazione a più fattori. Una volta ottenuto l'accesso, i responsabili della minaccia hanno abbandonato le tradizionali tattiche ransomware, come la crittografia di file su larga scala, e si sono concentrati invece sul furto di dati, sulla persistenza furtiva e sull'accesso di rete a lungo termine tramite utility di gestione remota.

Tecniche di criminalità informatica utilizzate per occultare operazioni statali.

I ricercatori ritengono che la campagna rifletta uno sforzo deliberato da parte di MuddyWater per oscurare l'attribuzione adottando strumenti e tecniche comunemente associati agli ecosistemi della criminalità informatica. Il gruppo ha integrato sempre più malware underground disponibili in commercio e framework di accesso remoto nelle proprie operazioni, inclusi strumenti come CastleRAT e Tsundere.

Questa tattica si allinea con le precedenti campagne di MuddyWater, che combinavano spionaggio e attività distruttive con operazioni in stile ransomware. Nel 2020, il gruppo ha preso di mira importanti organizzazioni israeliane utilizzando il loader PowGoop per diffondere una variante distruttiva del ransomware Thanos. Nel 2023, Microsoft ha collegato il gruppo a DEV-1084, un soggetto associato allo pseudonimo di DarkBit, durante attacchi mascherati da incidenti ransomware. Verso la fine del 2025, operatori legati all'Iran sono stati anche sospettati di aver utilizzato il ransomware Qilin contro un ospedale governativo israeliano.

I ricercatori nel campo della sicurezza hanno concluso che l'ultima campagna ha probabilmente coinvolto operatori affiliati all'Iran, operanti attraverso infrastrutture di criminalità informatica consolidate, perseguendo al contempo obiettivi geopolitici più ampi. L'utilizzo di Qilin e la partecipazione a ecosistemi di affiliazione ransomware hanno probabilmente fornito copertura operativa, una plausibile negabilità e accesso a capacità di attacco sofisticate, aiutando al contempo gli aggressori a eludere il maggiore monitoraggio difensivo israeliano.

Chaos RaaS: un ecosistema di estorsione in crescita

Chaos è emerso all'inizio del 2025 come un'operazione di Ransomware-as-a-Service nota per le sue aggressive tattiche di doppia estorsione. Il gruppo ha promosso il suo programma di affiliazione su forum clandestini di criminalità informatica come RAMP e RehubCom, espandendo rapidamente la propria portata operativa.

Le campagne di tipo "chaos" combinano comunemente attacchi di tipo "email flooding", "voice phishing" e "Microsoft Teams impersonification attack", in cui i malintenzionati si fingono personale di supporto IT. Le vittime vengono indotte a installare applicazioni di accesso remoto come Microsoft Quick Assist, consentendo agli aggressori di stabilire punti d'appoggio all'interno degli ambienti aziendali prima di elevare i privilegi, spostarsi lateralmente all'interno della rete e distribuire ransomware.

Il gruppo ha inoltre dimostrato modelli di estorsione sempre più aggressivi:

  • Doppia estorsione tramite furto di dati e richieste di riscatto
  • Triplice estorsione con minacce di attacchi di negazione del servizio distribuito (DDoS)
  • Quadruplice tattica estorsiva che include minacce di contattare clienti, partner o concorrenti per intensificare la pressione sulle vittime.

Entro marzo 2026, Chaos aveva mietuto 36 vittime sulla sua piattaforma di diffusione di dati sensibili, la maggior parte delle quali appartenenti a organizzazioni con sede negli Stati Uniti. I settori dell'edilizia, della produzione e dei servizi alle imprese risultavano tra i più colpiti.

Anatomia dell’intrusione

Durante l'intrusione oggetto dell'indagine, gli aggressori hanno avviato conversazioni esterne su Microsoft Teams con i dipendenti per guadagnarsi la loro fiducia e incoraggiare sessioni di condivisione dello schermo. Gli account utente compromessi sono stati quindi sfruttati per attività di ricognizione, persistenza, spostamento laterale e esfiltrazione di dati.

Mentre erano connessi ai sistemi delle vittime, gli aggressori hanno eseguito comandi di ricognizione, acceduto a file relativi alla VPN e istruito gli utenti a inserire manualmente le credenziali in documenti di testo creati localmente. In diversi casi, AnyDesk era installato per rafforzare le capacità di accesso remoto.

Gli autori della minaccia hanno inoltre utilizzato il protocollo RDP (Remote Desktop Protocol) per scaricare un file eseguibile denominato "ms_upd.exe" dall'indirizzo del server esterno 172.86.126.208 tramite l'utility curl. Una volta avviato, il malware ha innescato una catena di infezione a più fasi progettata per distribuire ulteriori componenti dannosi e stabilire comunicazioni di comando e controllo persistenti.

Arsenale di malware dietro la campagna

La catena di infezione comprendeva diversi componenti malware distinti che lavoravano insieme per mantenere la persistenza ed eseguire comandi remoti:

  • 'ms_upd.exe' (Stagecomp) ha raccolto informazioni di sistema e ha contattato un server di comando e controllo per scaricare payload secondari, tra cui 'game.exe', 'WebView2Loader.dll' e 'visualwincomp.txt'.
  • 'game.exe' (Darkcomp) funzionava come un trojan di accesso remoto personalizzato che si mascherava da un'applicazione Microsoft WebView2 legittima basata sul progetto ufficiale WebView2APISample.
  • Il file 'WebView2Loader.dll' fungeva da dipendenza legittima necessaria per il funzionamento di Microsoft Edge WebView2.
  • Il file 'visualwincomp.txt' conteneva dati di configurazione crittografati utilizzati dal RAT per identificare l'infrastruttura di comando e controllo.

Una volta attivato, il trojan di accesso remoto comunicava continuamente con il suo server di comando ogni 60 secondi, consentendo agli operatori di eseguire script PowerShell, comandi di sistema, manipolare file e avviare sessioni interattive a riga di comando.

Prove che collegano l’operazione a MuddyWater

L'attribuzione a MuddyWater è stata rafforzata dalla scoperta di un certificato di firma del codice associato a "Donald Gay", utilizzato per firmare il campione di malware "ms_upd.exe". Lo stesso certificato era stato precedentemente collegato al malware MuddyWater, inclusa una variante del downloader CastleLoader nota come Fakeset.

I ricercatori hanno osservato che l'operazione ha dimostrato una significativa convergenza tra attività di spionaggio sponsorizzate dallo Stato e metodi operativi dei criminali informatici. L'integrazione del branding del ransomware, delle negoziazioni per l'estorsione e dei framework malware disponibili in commercio ha complicato gli sforzi di attribuzione e ha distolto l'attenzione della difesa dalle attività di risposta immediata al ransomware, concentrandola sui meccanismi di persistenza a lungo termine stabiliti tramite strumenti di accesso remoto.

Perché l’attacco si è distinto

Uno degli aspetti più insoliti della campagna è stata l'apparente assenza di crittografia diffusa dei file, nonostante l'utilizzo di artefatti del ransomware Chaos. Questa deviazione dal comportamento standard dei ransomware suggerisce fortemente che la componente ransomware abbia funzionato principalmente come camuffamento o depistaggio operativo, piuttosto che come obiettivo primario della missione.

La campagna mette inoltre in luce una tendenza crescente tra gli attori malevoli iraniani a integrare strumenti per la criminalità informatica nelle operazioni dirette dallo Stato. Sfruttando le infrastrutture clandestine e gli ecosistemi di malware esistenti, gruppi come MuddyWater ottengono maggiore flessibilità operativa, riducono i costi di sviluppo interni e complicano notevolmente le attività di attribuzione per i difensori e gli analisti dell'intelligence.

Tendenza

I più visti

Caricamento in corso...