Serangan Ransomware Bendera Palsu MuddyWater

Kumpulan ancaman tajaan kerajaan Iran, MuddyWater, yang juga dikesan menggunakan alias seperti Mango Sandstorm, Seedworm dan Static Kitten, telah dikaitkan dengan kempen ransomware canggih yang digambarkan oleh penyiasat sebagai operasi bendera palsu. Walaupun pencerobohan itu pada mulanya menyerupai aktiviti yang berkaitan dengan operasi Ransomware-as-a-Service (RaaS) konvensional yang menggunakan jenama ransomware Chaos, analisis yang lebih mendalam mendedahkan ciri-ciri yang konsisten dengan serangan siber tajaan kerajaan yang disasarkan yang menyamar sebagai pemerasan bermotifkan kewangan.

Operasi yang dikenal pasti pada awal tahun 2026 itu banyak bergantung pada kejuruteraan sosial melalui Microsoft Teams. Penyerang menjalankan sesi penglibatan yang sangat interaktif dengan mangsa, memanfaatkan fungsi perkongsian skrin untuk mendapatkan kelayakan dan memanipulasi proses pengesahan berbilang faktor. Selepas memperoleh akses, pelaku ancaman tersebut meninggalkan taktik ransomware tradisional seperti penyulitan fail berskala besar dan sebaliknya menumpukan pada kecurian data, kegigihan tersembunyi dan akses rangkaian jangka panjang melalui utiliti pengurusan jauh.

Jenayah Siber Digunakan untuk Menyembunyikan Operasi Negeri

Para penyelidik percaya kempen ini mencerminkan usaha yang disengajakan oleh MuddyWater untuk mengaburkan atribusi dengan menggunakan alat dan teknik yang biasanya dikaitkan dengan ekosistem jenayah siber. Kumpulan ini semakin mengintegrasikan perisian hasad bawah tanah dan rangka kerja akses jauh yang tersedia secara komersial ke dalam operasinya, termasuk alat seperti CastleRAT dan Tsundere.

Taktik ini sejajar dengan kempen MuddyWater sebelumnya yang menggabungkan aktiviti pengintipan dan pemusnahan dengan operasi ala ransomware. Pada tahun 2020, kumpulan itu menyasarkan organisasi utama Israel yang menggunakan pemuat PowGoop untuk menggunakan varian pemusnah ransomware Thanos. Pada tahun 2023, Microsoft mengaitkan kumpulan itu dengan DEV-1084, seorang pelakon yang dikaitkan dengan persona DarkBit, semasa serangan yang menyamar sebagai insiden ransomware. Menjelang akhir tahun 2025, pengendali yang berkaitan dengan Iran juga disyaki menggunakan ransomware Qilin terhadap sebuah hospital kerajaan Israel.

Penyelidik keselamatan menyimpulkan bahawa kempen terbaru itu kemungkinan besar melibatkan pengendali yang bergabung dengan Iran yang beroperasi melalui infrastruktur jenayah siber yang sedia ada sambil mengejar objektif geopolitik yang lebih luas. Penggunaan Qilin dan penyertaan dalam ekosistem sekutu ransomware kemungkinan besar menyediakan perlindungan operasi, penafian yang munasabah, dan akses kepada keupayaan serangan yang matang sambil membantu penyerang mengelak pemantauan pertahanan Israel yang dipertingkatkan.

Chaos RaaS: Ekosistem Pemerasan yang Berkembang

Chaos muncul pada awal tahun 2025 sebagai operasi Ransomware-as-a-Service yang terkenal dengan taktik pemerasan berganda yang agresif. Kumpulan itu mempromosikan program afiliasinya di forum jenayah siber bawah tanah seperti RAMP dan RehubCom dan dengan pantas mengembangkan jangkauan operasinya.

Kempen huru-hara biasanya menggabungkan banjir e-mel, pancingan data suara dan serangan penyamaran Microsoft Teams di mana pelaku ancaman menyamar sebagai kakitangan sokongan IT. Mangsa dimanipulasi untuk memasang aplikasi akses jauh seperti Microsoft Quick Assist, membolehkan penyerang mewujudkan kedudukan dalam persekitaran korporat sebelum meningkatkan keistimewaan, bergerak secara menyamping dan menggunakan muatan ransomware.

Kumpulan itu juga telah menunjukkan model pemerasan yang semakin agresif:

• Peras ugut berganda melalui kecurian data dan tuntutan tebusan
• Peras ugut berganda yang melibatkan ancaman serangan penafian perkhidmatan teragih (DDoS)
• Taktik pemerasan empat kali ganda yang merangkumi ancaman untuk menghubungi pelanggan, rakan kongsi atau pesaing bagi meningkatkan tekanan terhadap mangsa

Menjelang Mac 2026, Chaos telah meragut 36 mangsa di platform kebocorannya, dengan kebanyakan organisasi terletak di Amerika Syarikat. Sektor pembinaan, pembuatan dan perkhidmatan perniagaan muncul antara industri yang paling disasarkan.

Anatomi Pencerobohan

Semasa pencerobohan yang disiasat, penyerang memulakan perbualan luaran Microsoft Teams dengan pekerja untuk mendapatkan kepercayaan dan menggalakkan sesi perkongsian skrin. Akaun pengguna yang terjejas kemudiannya dimanfaatkan untuk peninjauan, kegigihan, pergerakan sisi dan penapisan data.

Semasa disambungkan ke sistem mangsa, penyerang melaksanakan arahan peninjauan, mengakses fail berkaitan VPN dan mengarahkan pengguna memasukkan kelayakan secara manual ke dalam dokumen teks yang dibuat secara tempatan. Dalam beberapa keadaan, AnyDesk telah dipasang untuk mengukuhkan keupayaan akses jauh.

Pelakon ancaman itu juga menggunakan Protokol Desktop Jauh (RDP) untuk mendapatkan fail boleh laku bernama "ms_upd.exe" daripada alamat pelayan luaran 172.86.126.208 menggunakan utiliti curl. Sebaik sahaja dilancarkan, perisian hasad tersebut memulakan rantaian jangkitan berbilang peringkat yang direka untuk menggunakan komponen berniat jahat tambahan dan mewujudkan komunikasi arahan dan kawalan yang berterusan.

Arsenal Perisian Hasad di Sebalik Kempen

Rantaian jangkitan menggabungkan beberapa komponen malware berbeza yang berfungsi bersama untuk mengekalkan kegigihan dan melaksanakan arahan jauh:

• 'ms_upd.exe' (Stagecomp) mengumpulkan maklumat sistem dan menghubungi pelayan arahan dan kawalan untuk memuat turun muatan sekunder termasuk 'game.exe,' 'WebView2Loader.dll,' dan 'visualwincomp.txt'
• 'game.exe' (Darkcomp) berfungsi sebagai trojan akses jauh tersuai yang menyamar sebagai aplikasi Microsoft WebView2 yang sah berdasarkan projek WebView2APISample rasmi

• 'WebView2Loader.dll' berfungsi sebagai kebergantungan sah yang diperlukan untuk fungsi Microsoft Edge WebView2

• 'visualwincomp.txt' mengandungi data konfigurasi yang disulitkan yang digunakan oleh RAT untuk mengenal pasti infrastruktur arahan dan kawalan

Sebaik sahaja aktif, trojan akses jauh berkomunikasi secara berterusan dengan pelayan arahannya setiap 60 saat, membolehkan pengendali melaksanakan skrip PowerShell, menjalankan arahan sistem, memanipulasi fail dan menghasilkan sesi baris arahan interaktif.

Bukti yang Mengaitkan Operasi dengan MuddyWater

Atribusi kepada MuddyWater diperkukuhkan melalui penemuan sijil penandatanganan kod yang dikaitkan dengan 'Donald Gay', yang digunakan untuk menandatangani sampel perisian hasad 'ms_upd.exe'. Sijil yang sama sebelum ini telah dikaitkan dengan perisian hasad MuddyWater, termasuk varian pemuat turun CastleLoader yang dikenali sebagai Fakeset.

Para penyelidik menyatakan bahawa operasi tersebut menunjukkan penumpuan yang ketara antara aktiviti pengintipan yang ditaja oleh kerajaan dan kaedah operasi jenayah siber. Penyepaduan penjenamaan ransomware, rundingan pemerasan dan rangka kerja perisian hasad yang tersedia secara komersial merumitkan usaha atribusi dan mengalihkan perhatian pertahanan ke arah aktiviti tindak balas tebusan segera dan bukannya mekanisme kegigihan jangka panjang yang diwujudkan melalui alat akses jauh.

Mengapa Serangan Itu Menonjol

Salah satu aspek yang paling luar biasa dalam kempen ini ialah ketiadaan penyulitan fail yang meluas walaupun terdapat penggunaan artifak ransomware Chaos. Penyimpangan daripada tingkah laku ransomware standard ini menunjukkan dengan jelas bahawa komponen ransomware berfungsi terutamanya sebagai penyamaran atau penyelewengan operasi dan bukannya objektif misi utama.

Kempen ini juga mengetengahkan trend yang semakin meningkat dalam kalangan pelaku ancaman Iran untuk menggabungkan alat jenayah siber ke dalam operasi yang diarahkan oleh negara. Dengan memanfaatkan infrastruktur bawah tanah dan ekosistem perisian hasad sedia ada, kumpulan seperti MuddyWater memperoleh fleksibiliti operasi yang lebih besar, mengurangkan kos pembangunan dalaman dan merumitkan usaha atribusi untuk pembela dan penganalisis perisikan dengan ketara.