MuddyWater – atak ransomware pod fałszywą flagą
Irańska, sponsorowana przez państwo grupa cyberprzestępców MuddyWater, występująca również pod pseudonimami Mango Sandstorm, Seedworm i Static Kitten, została powiązana z wyrafinowaną kampanią ransomware, którą śledczy określają jako operację pod fałszywą flagą. Chociaż włamanie początkowo przypominało aktywność związaną z konwencjonalną operacją ransomware-as-a-Service (RaaS) z wykorzystaniem marki ransomware Chaos, głębsza analiza ujawniła cechy charakterystyczne dla ukierunkowanego cyberataku sponsorowanego przez państwo, podszywającego się pod wymuszenie motywowane finansowo.
Operacja, zidentyfikowana na początku 2026 roku, w dużej mierze opierała się na socjotechnice za pośrednictwem Microsoft Teams. Atakujący prowadzili wysoce interaktywne sesje z ofiarami, wykorzystując funkcję udostępniania ekranu do zbierania danych uwierzytelniających i manipulowania procesami uwierzytelniania wieloskładnikowego. Po uzyskaniu dostępu, atakujący porzucili tradycyjne taktyki ransomware, takie jak szyfrowanie plików na dużą skalę, i zamiast tego skupili się na kradzieży danych, ukrytym utrzymywaniu się w sieci i długoterminowym dostępie do sieci za pośrednictwem narzędzi do zdalnego zarządzania.
Spis treści
Cyberprzestępcze metody ukrywania operacji państwowych
Badacze uważają, że kampania odzwierciedla celowe działania MuddyWater mające na celu ukrycie atrybucji poprzez wykorzystanie narzędzi i technik powszechnie kojarzonych z ekosystemami cyberprzestępców. Grupa w coraz większym stopniu integruje ze swoimi działaniami komercyjnie dostępne, podziemne złośliwe oprogramowanie i platformy zdalnego dostępu, w tym narzędzia takie jak CastleRAT i Tsundere.
Taktyka ta jest zgodna z poprzednimi kampaniami MuddyWater, które łączyły szpiegostwo i destrukcyjną działalność z operacjami w stylu ransomware. W 2020 roku grupa zaatakowała duże izraelskie organizacje, wykorzystując program PowGoop do wdrażania destrukcyjnej odmiany ransomware Thanos. W 2023 roku Microsoft powiązał grupę z DEV-1084, aktorem powiązanym z DarkBit, podczas ataków podszywających się pod ataki ransomware. Pod koniec 2025 roku podejrzewano również, że operatorzy powiązani z Iranem użyli ransomware Qilin przeciwko izraelskiemu szpitalowi rządowemu.
Badacze bezpieczeństwa doszli do wniosku, że w najnowszej kampanii prawdopodobnie uczestniczyli operatorzy powiązani z Iranem, działający za pośrednictwem ugruntowanej infrastruktury cyberprzestępczej, realizując jednocześnie szersze cele geopolityczne. Wykorzystanie Qilin i udział w ekosystemach powiązanych z ransomware prawdopodobnie zapewniły osłonę operacyjną, wiarygodną możliwość zaprzeczenia i dostęp do zaawansowanych możliwości ataku, jednocześnie pomagając atakującym unikać wzmożonego izraelskiego monitoringu obronnego.
Chaos RaaS: Rozwijający się ekosystem wymuszeń
Chaos pojawił się na początku 2025 roku jako operacja typu Ransomware-as-a-Service, znana z agresywnych taktyk podwójnego wymuszenia. Grupa promowała swój program partnerski na podziemnych forach cyberprzestępczości, takich jak RAMP i RehubCom, i szybko rozszerzyła swój zasięg operacyjny.
Kampanie chaosu często łączą w sobie rozsyłanie e-maili, phishing głosowy i ataki podszywające się pod pracowników wsparcia IT w Microsoft Teams. Ofiary są nakłaniane do instalowania aplikacji zdalnego dostępu, takich jak Microsoft Quick Assist, co umożliwia atakującym uzyskanie dostępu do środowisk korporacyjnych, a następnie zwiększenie uprawnień, rozprzestrzenienie się i wdrożenie ataków ransomware.
Grupa ta stosuje również coraz bardziej agresywne modele wymuszeń:
- Podwójne wymuszenia poprzez kradzież danych i żądania okupu
- Potrójne wymuszenie obejmujące groźby ataków typu „rozproszona odmowa usługi” (DDoS)
- Poczwórne taktyki wymuszeń, obejmujące groźby skontaktowania się z klientami, partnerami lub konkurentami w celu zwiększenia presji na ofiary
Do marca 2026 roku Chaos pochłonął 36 ofiar na swojej platformie wycieków, z czego większość organizacji znajdowała się w Stanach Zjednoczonych. Sektory budownictwa, produkcji i usług biznesowych okazały się jednymi z najczęściej atakowanych branż.
Anatomia intruzji
Podczas badanego włamania atakujący inicjowali zewnętrzne rozmowy z pracownikami za pośrednictwem Microsoft Teams, aby zdobyć zaufanie i zachęcić ich do udostępniania ekranu. Przejęte konta użytkowników były następnie wykorzystywane do rekonesansu, utrwalania połączeń, przemieszczania się w celu uzyskania dostępu do danych i ich eksfiltracji.
Po połączeniu z systemami ofiar, atakujący wykonywali polecenia rozpoznawcze, uzyskiwali dostęp do plików powiązanych z siecią VPN i instruowali użytkowników, aby ręcznie wprowadzali dane uwierzytelniające do lokalnie tworzonych dokumentów tekstowych. W kilku przypadkach zainstalowano AnyDesk w celu wzmocnienia możliwości zdalnego dostępu.
Aktorzy zagrożenia dodatkowo wykorzystali protokół RDP (Remote Desktop Protocol) do pobrania pliku wykonywalnego o nazwie „ms_upd.exe” z adresu serwera zewnętrznego 172.86.126.208 za pomocą narzędzia curl. Po uruchomieniu złośliwe oprogramowanie zainicjowało wieloetapowy łańcuch infekcji, mający na celu wdrożenie dodatkowych złośliwych komponentów i nawiązanie trwałej komunikacji typu command-and-control.
Arsenał złośliwego oprogramowania stojący za kampanią
Łańcuch infekcji składał się z kilku odrębnych komponentów złośliwego oprogramowania, które współdziałały ze sobą, aby zapewnić trwałość i wykonywać polecenia zdalne:
- „ms_upd.exe” (Stagecomp) zebrał informacje o systemie i nawiązał kontakt z serwerem poleceń i kontroli w celu pobrania dodatkowych ładunków, w tym „game.exe”, „WebView2Loader.dll” i „visualwincomp.txt”
- „game.exe” (Darkcomp) działał jako niestandardowy trojan zdalnego dostępu podszywający się pod legalną aplikację Microsoft WebView2 opartą na oficjalnym projekcie WebView2APISample
- Plik „WebView2Loader.dll” stanowił uzasadnioną zależność wymaganą do działania przeglądarki Microsoft Edge WebView2
- Plik „visualwincomp.txt” zawierał zaszyfrowane dane konfiguracyjne używane przez RAT do identyfikacji infrastruktury poleceń i kontroli
Po aktywacji trojan umożliwiający zdalny dostęp nieustannie komunikował się z serwerem poleceń co 60 sekund, umożliwiając operatorom wykonywanie skryptów programu PowerShell, uruchamianie poleceń systemowych, manipulowanie plikami i uruchamianie interaktywnych sesji wiersza poleceń.
Dowody łączące operację z MuddyWater
Przypisanie odpowiedzialności MuddyWater zostało wzmocnione dzięki odkryciu certyfikatu podpisującego kod powiązanego z „Donaldem Gayem”, który został użyty do podpisania próbki złośliwego oprogramowania „ms_upd.exe”. Ten sam certyfikat był wcześniej powiązany ze złośliwym oprogramowaniem MuddyWater, w tym z wariantem programu pobierającego CastleLoader znanym jako Fakeset.
Badacze zauważyli, że operacja wykazała znaczącą zbieżność między sponsorowaną przez państwo działalnością szpiegowską a metodami operacyjnymi cyberprzestępców. Integracja brandingu ransomware, negocjacji wymuszeń i dostępnych komercyjnie struktur złośliwego oprogramowania skomplikowała działania atrybucyjne i skierowała uwagę obronną na natychmiastowe działania w odpowiedzi na żądanie okupu, zamiast na długoterminowe mechanizmy utrzymywania się w sieci za pomocą narzędzi zdalnego dostępu.
Dlaczego atak się wyróżniał
Jednym z najbardziej nietypowych aspektów kampanii był pozorny brak powszechnego szyfrowania plików, pomimo użycia artefaktów ransomware Chaos. To odstępstwo od standardowego zachowania ransomware silnie sugeruje, że komponent ransomware działał głównie jako kamuflaż lub dezorientacja operacyjna, a nie jako główny cel misji.
Kampania uwydatnia również rosnący trend wśród irańskich podmiotów cyberprzestępczych do wykorzystywania narzędzi cyberprzestępczych w operacjach prowadzonych przez państwo. Wykorzystując istniejące podziemne infrastruktury i ekosystemy złośliwego oprogramowania, grupy takie jak MuddyWater zyskują większą elastyczność operacyjną, obniżają wewnętrzne koszty rozwoju i znacznie komplikują działania atrybucyjne zarówno dla obrońców, jak i analityków wywiadu.
