Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Ataque de ransomware de falsa bandeira MuddyWater

Ataque de ransomware de falsa bandeira MuddyWater

Por Mezo em Malware, Ameaça Persistente Avançada (APT)
Traduzir Para:

O grupo de ameaças cibernéticas MuddyWater, patrocinado pelo Estado iraniano e também rastreado sob os pseudônimos Mango Sandstorm, Seedworm e Static Kitten, foi associado a uma sofisticada campanha de ransomware que os investigadores descrevem como uma operação de falsa bandeira. Embora a intrusão inicialmente se assemelhasse à atividade associada a uma operação convencional de Ransomware como Serviço (RaaS) utilizando a marca de ransomware Chaos, uma análise mais aprofundada revelou características consistentes com um ciberataque direcionado, patrocinado por um Estado e disfarçado de extorsão com motivação financeira.

A operação, identificada no início de 2026, dependia fortemente de engenharia social por meio do Microsoft Teams. Os atacantes realizavam sessões de interação intensas com as vítimas, utilizando a funcionalidade de compartilhamento de tela para coletar credenciais e manipular os processos de autenticação multifatorial. Após obterem acesso, os agentes da ameaça abandonaram as táticas tradicionais de ransomware, como a criptografia de arquivos em larga escala, e se concentraram no roubo de dados, na persistência furtiva e no acesso à rede a longo prazo por meio de ferramentas de gerenciamento remoto.

Técnicas de cibercrime usadas para ocultar operações estatais

Os pesquisadores acreditam que a campanha reflete um esforço deliberado da MuddyWater para ocultar a autoria, adotando ferramentas e técnicas comumente associadas a ecossistemas de cibercriminosos. O grupo tem integrado cada vez mais malware clandestino disponível comercialmente e estruturas de acesso remoto em suas operações, incluindo ferramentas como CastleRAT e Tsundere.

Essa tática está alinhada com campanhas anteriores da MuddyWater, que combinavam espionagem e atividades destrutivas com operações no estilo ransomware. Em 2020, o grupo atacou importantes organizações israelenses usando o loader PowGoop para implantar uma variante destrutiva do ransomware Thanos. Em 2023, a Microsoft vinculou o grupo ao DEV-1084, um agente associado à persona DarkBit, durante ataques disfarçados de incidentes de ransomware. No final de 2025, operadores ligados ao Irã também foram suspeitos de usar o ransomware Qilin contra um hospital do governo israelense.

Pesquisadores de segurança concluíram que a campanha mais recente provavelmente envolveu operadores afiliados ao Irã, atuando por meio de infraestruturas cibercriminosas já estabelecidas, enquanto buscavam objetivos geopolíticos mais amplos. O uso do Qilin e a participação em ecossistemas afiliados a ransomware provavelmente forneceram cobertura operacional, negação plausível e acesso a recursos de ataque sofisticados, além de ajudar os atacantes a burlar o monitoramento defensivo israelense reforçado.

Chaos RaaS: Um Ecossistema de Extorsão em Crescimento

O grupo Chaos surgiu no início de 2025 como uma operação de Ransomware como Serviço (RaaS) conhecida por suas táticas agressivas de dupla extorsão. O grupo promoveu seu programa de afiliados em fóruns clandestinos de crimes cibernéticos, como RAMP e RehubCom, e expandiu rapidamente seu alcance operacional.

As campanhas de caos geralmente combinam ataques de inundação de e-mail, phishing por voz e falsificação de identidade no Microsoft Teams, nos quais os agentes maliciosos se fazem passar por funcionários de suporte de TI. As vítimas são manipuladas para instalar aplicativos de acesso remoto, como o Microsoft Quick Assist, permitindo que os invasores estabeleçam pontos de acesso em ambientes corporativos antes de escalar privilégios, movimentar-se lateralmente e implantar payloads de ransomware.

O grupo também tem demonstrado modelos de extorsão cada vez mais agressivos:

  • Dupla extorsão por meio de roubo de dados e pedidos de resgate.
  • Tripla extorsão envolvendo ameaças de ataques de negação de serviço distribuídos (DDoS).
  • Táticas de extorsão quádrupla que incluem ameaças de contatar clientes, parceiros ou concorrentes para intensificar a pressão sobre as vítimas.

Em março de 2026, o grupo Chaos havia reivindicado 36 vítimas em sua plataforma de vazamentos, com a maioria das organizações localizadas nos Estados Unidos. Os setores de construção, manufatura e serviços empresariais figuravam entre os mais visados.

Anatomia da Intrusão

Durante a intrusão investigada, os atacantes iniciaram conversas externas no Microsoft Teams com funcionários para ganhar confiança e incentivar sessões de compartilhamento de tela. As contas de usuário comprometidas foram então utilizadas para reconhecimento, persistência, movimentação lateral e exfiltração de dados.

Enquanto conectados aos sistemas das vítimas, os atacantes executaram comandos de reconhecimento, acessaram arquivos relacionados à VPN e instruíram os usuários a inserir manualmente credenciais em documentos de texto criados localmente. Em vários casos, o AnyDesk foi instalado para reforçar os recursos de acesso remoto.

Os agentes da ameaça também usaram o Protocolo de Área de Trabalho Remota (RDP) para obter um executável chamado “ms_upd.exe” do endereço do servidor externo 172.86.126.208 usando o utilitário curl. Uma vez executado, o malware iniciou uma cadeia de infecção em vários estágios, projetada para implantar componentes maliciosos adicionais e estabelecer comunicações persistentes de comando e controle.

Arsenal de malware por trás da campanha

A cadeia de infecção incorporava vários componentes de malware distintos que trabalhavam em conjunto para manter a persistência e executar comandos remotos:

  • O arquivo 'ms_upd.exe' (Stagecomp) coletou informações do sistema e contatou um servidor de comando e controle para baixar arquivos secundários, incluindo 'game.exe', 'WebView2Loader.dll' e 'visualwincomp.txt'.
  • O arquivo 'game.exe' (Darkcomp) funcionava como um trojan de acesso remoto personalizado, disfarçado de aplicativo legítimo do Microsoft WebView2, baseado no projeto oficial WebView2APISample.
  • O arquivo 'WebView2Loader.dll' era uma dependência legítima necessária para a funcionalidade do WebView2 no Microsoft Edge.
  • O arquivo 'visualwincomp.txt' continha dados de configuração criptografados usados pelo RAT para identificar a infraestrutura de comando e controle.

Uma vez ativo, o trojan de acesso remoto comunicava-se continuamente com seu servidor de comandos a cada 60 segundos, permitindo que os operadores executassem scripts do PowerShell, comandos do sistema, manipulassem arquivos e iniciassem sessões interativas de linha de comando.

Evidências que ligam a operação à MuddyWater

A atribuição à MuddyWater foi reforçada pela descoberta de um certificado de assinatura de código associado a 'Donald Gay', que foi usado para assinar a amostra de malware 'ms_upd.exe'. O mesmo certificado já havia sido vinculado anteriormente a malware da MuddyWater, incluindo uma variante do downloader CastleLoader conhecida como Fakeset.

Os pesquisadores observaram que a operação demonstrou uma convergência significativa entre atividades de espionagem patrocinadas pelo Estado e métodos operacionais de cibercriminosos. A integração da identidade visual do ransomware, negociações de extorsão e frameworks de malware disponíveis comercialmente dificultou os esforços de atribuição e desviou a atenção das defesas para atividades de resposta imediata ao resgate, em vez de mecanismos de persistência a longo prazo estabelecidos por meio de ferramentas de acesso remoto.

Por que o ataque se destacou

Um dos aspectos mais incomuns da campanha foi a aparente ausência de criptografia generalizada de arquivos, apesar do uso de artefatos do ransomware Chaos. Esse desvio do comportamento padrão de ransomware sugere fortemente que o componente de ransomware funcionou principalmente como camuflagem ou distração operacional, e não como o objetivo principal da missão.

A campanha também destaca uma tendência crescente entre os agentes de ameaças iranianos de incorporar ferramentas de cibercrime em operações dirigidas pelo Estado. Ao aproveitar infraestruturas subterrâneas e ecossistemas de malware existentes, grupos como o MuddyWater obtêm maior flexibilidade operacional, reduzem os custos internos de desenvolvimento e complicam significativamente os esforços de atribuição tanto para defensores quanto para analistas de inteligência.

Tendendo

Mais visto

Carregando...