Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware MuddyWater False Flag Ransomware-aanval

MuddyWater False Flag Ransomware-aanval

Tegen Mezo in Malware, Geavanceerde aanhoudende dreiging (APT)
Vertalen naar:

De Iraanse staatsgesteunde dreigingsgroep MuddyWater, ook bekend onder aliassen als Mango Sandstorm, Seedworm en Static Kitten, is in verband gebracht met een geavanceerde ransomwarecampagne die onderzoekers omschrijven als een valse-vlagoperatie. Hoewel de inbraak aanvankelijk leek op activiteiten die geassocieerd worden met een conventionele Ransomware-as-a-Service (RaaS)-operatie met de ransomware Chaos, onthulde een nadere analyse kenmerken die consistent zijn met een gerichte, door de staat gesponsorde cyberaanval, vermomd als financieel gemotiveerde afpersing.

De operatie, die begin 2026 werd ontdekt, maakte veelvuldig gebruik van social engineering via Microsoft Teams. Aanvallers voerden zeer interactieve sessies met slachtoffers, waarbij ze de schermdeelingsfunctie gebruikten om inloggegevens te bemachtigen en multifactorauthenticatieprocessen te manipuleren. Nadat ze toegang hadden verkregen, lieten de daders traditionele ransomwaretactieken zoals grootschalige bestandsversleuteling achterwege en concentreerden ze zich in plaats daarvan op datadiefstal, onopvallende persistentie en langdurige netwerktoegang via beheertools op afstand.

Cybercriminaliteitstechnieken gebruikt om staatsoperaties te verbergen

Onderzoekers zijn van mening dat de campagne een bewuste poging van MuddyWater is om de dader te verbergen door gebruik te maken van tools en technieken die vaak voorkomen in cybercriminele ecosystemen. De groep heeft steeds vaker commercieel verkrijgbare, illegale malware en frameworks voor toegang op afstand in haar activiteiten geïntegreerd, waaronder tools zoals CastleRAT en Tsundere.

Deze tactiek sluit aan bij eerdere MuddyWater-campagnes, waarbij spionage en destructieve activiteiten werden gecombineerd met ransomware-aanvallen. In 2020 richtte de groep zich op grote Israëlische organisaties met behulp van de PowGoop-loader om een destructieve variant van Thanos-ransomware te verspreiden. In 2023 linkte Microsoft de groep aan DEV-1084, een actor die geassocieerd wordt met het DarkBit-personage, tijdens aanvallen die vermomd waren als ransomware-incidenten. Eind 2025 werden ook aan Iran gelieerde actoren ervan verdacht Qilin-ransomware te hebben gebruikt tegen een Israëlisch overheidsziekenhuis.

Beveiligingsonderzoekers concludeerden dat de meest recente campagne waarschijnlijk werd uitgevoerd door aan Iran gelieerde actoren die opereerden via gevestigde cybercriminele infrastructuren en bredere geopolitieke doelen nastreefden. Het gebruik van Qilin en de deelname aan aan ransomware gelieerde ecosystemen boden waarschijnlijk operationele dekking, de mogelijkheid tot ontkenning en toegang tot geavanceerde aanvalsmogelijkheden, terwijl de aanvallers tegelijkertijd de verscherpte Israëlische defensiebewaking konden omzeilen.

Chaos RaaS: een groeiend ecosysteem voor afpersing

Chaos dook begin 2025 op als een ransomware-as-a-service-organisatie die bekend stond om agressieve dubbele afpersingstactieken. De groep promootte haar partnerprogramma op underground cybercriminele fora zoals RAMP en RehubCom en breidde haar operationele bereik snel uit.

Chaos-aanvallen combineren vaak e-mailbombardementen, telefonische phishing en Microsoft Teams-imitatieaanvallen, waarbij cybercriminelen zich voordoen als IT-ondersteuningsmedewerkers. Slachtoffers worden ertoe verleid om applicaties voor toegang op afstand te installeren, zoals Microsoft Quick Assist. Dit stelt aanvallers in staat om toegang te krijgen tot bedrijfsomgevingen, vervolgens hun bevoegdheden te vergroten, zich binnen de organisatie te verplaatsen en ransomware te verspreiden.

De groep heeft ook steeds agressievere afpersingsmethoden laten zien:

  • Dubbele afpersing door middel van datadiefstal en losgeldeisen
  • Drievoudige afpersing met dreigingen van distributed denial-of-service (DDoS)-aanvallen.
  • Viervoudige afpersingstactieken, waaronder dreigingen om contact op te nemen met klanten, partners of concurrenten om de druk op de slachtoffers op te voeren.

In maart 2026 had Chaos 36 slachtoffers gemaakt via zijn lekplatform, waarvan de meeste organisaties in de Verenigde Staten gevestigd waren. De bouw-, productie- en zakelijke dienstensector bleken tot de meest getroffen sectoren te behoren.

Anatomie van de intrusie

Tijdens de onderzochte inbraak initieerden de aanvallers externe Microsoft Teams-gesprekken met medewerkers om vertrouwen te winnen en schermdeling aan te moedigen. De gecompromitteerde gebruikersaccounts werden vervolgens gebruikt voor verkenning, persistentie, laterale verplaatsing en data-exfiltratie.

Terwijl ze verbonden waren met de systemen van de slachtoffers, voerden de aanvallers verkenningsopdrachten uit, kregen ze toegang tot VPN-gerelateerde bestanden en instrueerden ze gebruikers om handmatig inloggegevens in te voeren in lokaal aangemaakte tekstdocumenten. In verschillende gevallen was AnyDesk geïnstalleerd om de mogelijkheden voor toegang op afstand te versterken.

De aanvallers gebruikten bovendien Remote Desktop Protocol (RDP) om met behulp van het curl-hulpprogramma een uitvoerbaar bestand met de naam "ms_upd.exe" op te halen van de externe server met adres 172.86.126.208. Na de uitvoering zette de malware een infectieketen in gang die was ontworpen om extra kwaadaardige componenten te installeren en permanente command-and-control-communicatie tot stand te brengen.

Malware Arsenal achter de campagne

De infectieketen bestond uit verschillende afzonderlijke malwarecomponenten die samenwerkten om persistentie te behouden en op afstand commando's uit te voeren:

  • 'ms_upd.exe' (Stagecomp) verzamelde systeeminformatie en nam contact op met een command-and-control-server om secundaire payloads te downloaden, waaronder 'game.exe', 'WebView2Loader.dll' en 'visualwincomp.txt'.
  • 'game.exe' (Darkcomp) functioneerde als een aangepaste remote access trojan die zich voordeed als een legitieme Microsoft WebView2-applicatie, gebaseerd op het officiële WebView2APISample-project.
  • 'WebView2Loader.dll' was een legitieme afhankelijkheid die nodig was voor de WebView2-functionaliteit van Microsoft Edge.
  • 'visualwincomp.txt' bevatte versleutelde configuratiegegevens die door de RAT werden gebruikt om command-and-control-infrastructuur te identificeren.

Eenmaal actief, communiceerde de remote access trojan continu elke 60 seconden met zijn commandoserver, waardoor operators PowerShell-scripts konden uitvoeren, systeemopdrachten konden uitvoeren, bestanden konden manipuleren en interactieve commandoregelsessies konden starten.

Bewijs dat de operatie in verband brengt met MuddyWater

De toewijzing aan MuddyWater werd versterkt door de ontdekking van een codeondertekeningscertificaat dat geassocieerd werd met 'Donald Gay', waarmee het malwarebestand 'ms_upd.exe' was ondertekend. Ditzelfde certificaat was eerder al in verband gebracht met MuddyWater-malware, waaronder een CastleLoader-downloadervariant die bekend stond als Fakeset.

Onderzoekers merkten op dat de operatie een aanzienlijke convergentie vertoonde tussen door de staat gesponsorde spionageactiviteiten en operationele methoden van cybercriminelen. De integratie van ransomware-branding, afpersingsonderhandelingen en commercieel verkrijgbare malware-frameworks bemoeilijkte de identificatie van de dader en leidde de aandacht van de verdediging af naar onmiddellijke acties om losgeld te eisen, in plaats van naar mechanismen voor langdurige persistentie die via tools voor toegang op afstand werden opgezet.

Waarom de aanval opviel

Een van de meest opvallende aspecten van de campagne was de schijnbare afwezigheid van wijdverspreide bestandsversleuteling, ondanks het gebruik van elementen van de Chaos-ransomware. Deze afwijking van het standaard ransomwaregedrag suggereert sterk dat de ransomwarecomponent primair diende als camouflage of operationele misleiding, in plaats van als het primaire doel van de missie.

De campagne benadrukt ook een groeiende trend onder Iraanse cybercriminelen om cybercriminele instrumenten te integreren in door de staat aangestuurde operaties. Door gebruik te maken van bestaande ondergrondse infrastructuren en malware-ecosystemen verkrijgen groepen zoals MuddyWater meer operationele flexibiliteit, verlagen ze de interne ontwikkelingskosten en bemoeilijken ze de identificatie van daders aanzienlijk, zowel voor verdedigers als voor inlichtingenanalisten.

Trending

Meest bekeken

Bezig met laden...