Rabattoffert för flera licenser
Hotdatabas Skadlig programvara MuddyWater False Flag Ransomware-attack

MuddyWater False Flag Ransomware-attack

Med Mezo år Skadlig programvara, Advanced Persistent Threat (APT)
Översätt till:

Den iranska statssponsrade hotgruppen MuddyWater, som också spåras under alias som Mango Sandstorm, Seedworm och Static Kitten, har kopplats till en sofistikerad ransomware-kampanj som utredare beskriver som en falskflaggoperation. Även om intrånget initialt liknade aktivitet i samband med en konventionell Ransomware-as-a-Service (RaaS)-operation med ransomware-varumärket Chaos, avslöjade djupare analys egenskaper som överensstämmer med en riktad statssponsrad cyberattack förklädd till ekonomiskt motiverad utpressning.

Operationen, som identifierades i början av 2026, förlitade sig i hög grad på social ingenjörskonst genom Microsoft Teams. Angriparna genomförde mycket interaktiva sessioner med offren och utnyttjade skärmdelningsfunktioner för att samla in autentiseringsuppgifter och manipulera flerfaktorsautentiseringsprocesser. Efter att ha fått åtkomst övergav hotaktörerna traditionella ransomware-taktik som storskalig filkryptering och fokuserade istället på datastöld, smygande åtkomst och långsiktig nätverksåtkomst via fjärrhanteringsverktyg.

Cyberbrottslighetshandel används för att dölja statliga operationer

Forskare tror att kampanjen återspeglar en avsiktlig strävan från MuddyWaters sida att dölja tillskrivning genom att använda verktyg och tekniker som vanligtvis förknippas med cyberkriminella ekosystem. Gruppen har i allt högre grad integrerat kommersiellt tillgänglig underjordisk skadlig programvara och ramverk för fjärråtkomst i sin verksamhet, inklusive verktyg som CastleRAT och Tsundere.

Denna taktik överensstämmer med tidigare MuddyWater-kampanjer som blandade spionage och destruktiv aktivitet med ransomware-liknande operationer. År 2020 riktade gruppen in sig på stora israeliska organisationer som använde PowGoop-laddaren för att distribuera en destruktiv variant av Thanos ransomware. År 2023 kopplade Microsoft gruppen till DEV-1084, en aktör associerad med DarkBit-personan, under attacker förklädda som ransomware-incidenter. I slutet av 2025 misstänktes även iranskkopplade operatörer för att ha använt Qilin ransomware mot ett israeliskt statligt sjukhus.

Säkerhetsforskare drog slutsatsen att den senaste kampanjen sannolikt involverade iransk-anslutna operatörer som opererade genom etablerade cyberkriminella infrastrukturer samtidigt som de strävade efter bredare geopolitiska mål. Användningen av Qilin och deltagande i ransomware-anslutna ekosystem gav sannolikt operativ täckning, rimlig förnekelse och tillgång till mogna attackkapaciteter samtidigt som det hjälpte angriparna att undvika ökad israelisk defensiv övervakning.

Chaos RaaS: Ett växande utpressningsekosystem

Chaos uppstod i början av 2025 som en Ransomware-as-a-Service-operation känd för aggressiva dubbelutpressningstaktik. Gruppen marknadsförde sitt affiliateprogram på underjordiska cyberbrottsforum som RAMP och RehubCom och utökade snabbt sin operativa räckvidd.

Kaoskampanjer kombinerar ofta e-postöversvämningar, röstfiske och personifieringsattacker i Microsoft Teams där hotaktörer utger sig för att vara IT-supportpersonal. Offren manipuleras att installera fjärråtkomstapplikationer som Microsoft Quick Assist, vilket gör det möjligt för angripare att etablera sig i företagsmiljöer innan de eskalerar privilegier, rör sig i sidled och distribuerar ransomware-nyttolaster.

Gruppen har också demonstrerat alltmer aggressiva utpressningsmodeller:

  • Dubbel utpressning genom datastöld och krav på lösensummor
  • Trippel utpressning som involverar hot om distribuerade denial-of-service-attacker (DDoS)
  • Fyrfaldiga utpressningstaktik som inkluderar hot mot att kontakta kunder, partners eller konkurrenter för att öka trycket på offren

I mars 2026 hade Chaos krävt 36 offer på sin läckplattform, med de flesta organisationerna belägna i USA. Bygg-, tillverknings- och affärstjänstesektorerna verkade vara bland de mest utsatta branscherna.

Intrångets anatomi

Under det undersökta intrånget inledde angriparna externa Microsoft Teams-samtal med anställda för att vinna förtroende och uppmuntra till skärmdelning. Komprometterade användarkonton utnyttjades sedan för rekognoscering, persistens, lateral förflyttning och dataexfiltrering.

Medan angriparna var anslutna till offrets system utförde de rekognoseringskommandon, åtkomst till VPN-relaterade filer och instruerade användare att manuellt ange inloggningsuppgifter i lokalt skapade textdokument. I flera fall installerades AnyDesk för att stärka fjärråtkomstfunktionerna.

Hotaktörerna använde dessutom Remote Desktop Protocol (RDP) för att hämta en körbar fil med namnet "ms_upd.exe" från den externa serveradressen 172.86.126.208 med hjälp av curl-verktyget. När den skadliga programvaran väl lanserades initierade den en flerstegsinfektionskedja utformad för att distribuera ytterligare skadliga komponenter och etablera ihållande kommando- och kontrollkommunikation.

Skadlig kod Arsenal bakom kampanjen

Infektionskedjan innehöll flera distinkta komponenter i skadlig kod som samarbetade för att upprätthålla beständighet och utföra fjärrkommandon:

  • 'ms_upd.exe' (Stagecomp) samlade in systeminformation och kontaktade en kommando- och kontrollserver för att ladda ner sekundära nyttolaster inklusive 'game.exe', 'WebView2Loader.dll' och 'visualwincomp.txt'
  • 'game.exe' (Darkcomp) fungerade som en anpassad fjärråtkomsttrojan som utgav sig för att vara ett legitimt Microsoft WebView2-program baserat på det officiella WebView2APISample-projektet.
  • 'WebView2Loader.dll' fungerade som ett legitimt beroende som krävs för Microsoft Edge WebView2-funktionalitet
  • 'visualwincomp.txt' innehöll krypterad konfigurationsdata som användes av RAT för att identifiera kommando- och kontrollinfrastruktur

När den var aktiv kommunicerade fjärråtkomsttrojanen kontinuerligt med sin kommandoserver var 60:e sekund, vilket gjorde det möjligt för operatörer att köra PowerShell-skript, köra systemkommandon, manipulera filer och starta interaktiva kommandoradssessioner.

Bevis som kopplar operationen till MuddyWater

Tillskrivningen till MuddyWater stärktes genom upptäckten av ett kodsigneringscertifikat kopplat till "Donald Gay", vilket användes för att signera skadlig kod "ms_upd.exe". Samma certifikat hade tidigare kopplats till MuddyWater-skadlig kod, inklusive en nedladdningsvariant av CastleLoader känd som Fakeset.

Forskarna noterade att operationen visade en betydande konvergens mellan statssponsrad spionageverksamhet och cyberkriminella operativa metoder. Integreringen av ransomware-varumärkesbyggande, utpressningsförhandlingar och kommersiellt tillgängliga ramverk för skadlig kod komplicerade tillskrivningsarbetet och avledde defensiv uppmärksamhet mot omedelbara lösensummor snarare än långsiktiga persistensmekanismer som etablerats genom fjärråtkomstverktyg.

Varför attacken stack ut

En av de mest ovanliga aspekterna av kampanjen var den uppenbara avsaknaden av utbredd filkryptering trots användningen av Chaos ransomware-artefakter. Denna avvikelse från standardbeteendet för ransomware tyder starkt på att ransomware-komponenten främst fungerade som kamouflage eller operativ vilseledande snarare än det primära uppdragsmålet.

Kampanjen belyser också en växande trend bland iranska hotaktörer att integrera verktyg mot cyberbrottslighet i statligt styrda operationer. Genom att utnyttja befintlig underjordisk infrastruktur och ekosystem för skadlig kod får grupper som MuddyWater större operativ flexibilitet, minskar interna utvecklingskostnader och komplicerar avsevärt attributionsarbetet för både försvarare och underrättelseanalytiker.

Trendigt

Mest sedda

Läser in...