Hackers iranianos do grupo MuddyWater disfarçaram suas operações como um ataque de ransomware Chaos, recorrendo à engenharia social no Microsoft Teams para obter acesso e estabelecer persistência.
Embora o ataque envolvesse roubo de credenciais, persistência, acesso remoto, exfiltração de dados, e-mails de extorsão e uma entrada no portal de vazamento do Chaos, os atacantes usaram infraestrutura e técnicas associadas às campanhas do MuddyWater.
Pesquisadores da Rapid7 acreditam que o componente de ransomware provavelmente foi usado para ocultar a verdadeira operação de ciberespionagem e dificultar a atribuição.
"A estratégia destaca a convergência entre atividade de intrusão patrocinada pelo Estado e táticas do crime cibernético, em que uma evidência importante está nas técnicas que foram usadas, e nas que não foram.
Isso sugere que o objetivo principal não era ganho financeiro", explica a Rapid7.
Apesar da aparência de ransomware, a Rapid7 diz ter confiança moderada ao atribuir o incidente ao MuddyWater, um grupo também conhecido como Static Kitten, Mango Sandstorm e Seedworm.
A conclusão se baseia na sobreposição de infraestrutura, em um certificado específico de assinatura de código usado pelo grupo patrocinado pelo Estado para assinar os malwares Stagecomp e Darkcomp, atribuídos ao threat actor, além de diversas características de operação.
O MuddyWater é um grupo iraniano de ciberespionagem patrocinado pelo Estado, conhecido por campanhas de intrusão prolongadas em redes, alinhadas ao Ministério da Inteligência e Segurança do país, o MOIS.
O Chaos é uma operação de ransomware-as-a-service que surgiu em 2025 e é conhecida por ataques de caça a alvos de alto valor, táticas de dupla extorsão e campanhas de engenharia social voltadas principalmente a organizações dos Estados Unidos.
A intrusão analisada pela Rapid7 começou com engenharia social no Microsoft Teams.
Nela, os atacantes iniciaram conversas com funcionários, estabeleceram sessões de compartilhamento de tela, coletaram credenciais, manipularam configurações de autenticação multifator, o MFA, e, em alguns casos, implantaram o AnyDesk para acesso remoto.
O roubo de credenciais ocorreu por meio de páginas de phishing que imitavam o Microsoft Quick Assist ou pelo engano das vítimas para que digitassem suas senhas em arquivos de texto locais.
Depois de comprometer as contas, os atacantes se autenticaram em sistemas internos, incluindo um controlador de domínio, e estabeleceram persistência usando RDP, DWAgent e AnyDesk.
Em seguida, eles usaram um loader de malware, o ms_upd.exe, para instalar um backdoor personalizado, o Game.exe, disfarçado como uma aplicação do Microsoft WebView2.
O malware inclui recursos de anti-análise e verificações contra máquinas virtuais, além de suportar 12 comandos, entre eles a execução de PowerShell e CMD, upload e exclusão de arquivos e acesso persistente ao shell.
A Rapid7 observa que o MuddyWater já usou ransomware no passado para mascarar suas operações de ciberespionagem.
No fim de 2025, o threat actor implantou o ransomware Qilin em um ataque contra uma organização israelense.
Os pesquisadores sugerem que o grupo pode ter adotado uma nova marca de ransomware após a atribuição daquela ação no fim de 2025 a operativos do MOIS.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...