Se cree que un grupo de hackers respaldado por el estado iraní conocido como MuddyWater (también conocido como Mango Sandstorm, Seedworm y Static Kitten) fue responsable del ataque de ransomware, denominado «operación de bandera falsa».
Se descubrió que este ataque, observado por Rapid7 a principios de 2026, utiliza técnicas de ingeniería social a través de Microsoft Teams para iniciar la secuencia de infección. Aunque inicialmente este incidente parecía ser consistente con un grupo de ransomware como servicio (RaaS) que operaba bajo la marca Chaos, la evidencia indica que fue un ataque dirigido patrocinado por el estado disfrazado de extorsión oportunista.
«Esta campaña presentó una fase de ingeniería social de alto contacto realizada a través de Microsoft Teams, donde los atacantes aprovecharon el uso compartido de pantalla interactiva para recopilar credenciales y manipular la autenticación multifactor (MFA)», dijo Rapid7 en un informe compartido con The Hacker News.
«Una vez dentro, el grupo pasó por alto los flujos de trabajo tradicionales de ransomware e ignoró el cifrado de archivos en favor de la extracción de datos y el almacenamiento a largo plazo a través de herramientas de administración remota como DWAgent».
Los hallazgos indican que MuddyWater está intentando interrumpir los esfuerzos para identificar la causa de sus ataques aumentando su dependencia de herramientas disponibles en el mercado del cibercrimen para llevar a cabo sus ataques. Este cambio también ha sido documentado por Ctrl-Alt-Intel, Broadcom, Check Point y JUMPSEC en los últimos meses, destacando el uso de CastleRAT y Tsundere por parte de los atacantes.
Dicho esto, esta no es la primera vez que MuddyWater lleva a cabo un ataque de ransomware. En septiembre de 2020, el atacante estuvo implicado en una campaña dirigida a organizaciones destacadas de Israel utilizando un cargador llamado PowGoop que implementaba una variante del ransomware Thanos con capacidades destructivas.
Luego, en 2023, Microsoft reveló que el grupo de hackers colaboró con el atacante DEV-1084, conocido por utilizar el personaje DarkBit, para llevar a cabo ataques devastadores con el pretexto de implementar ransomware. En octubre de 2025, se cree que los atacantes utilizaron el ransomware Qilin para atacar hospitales del gobierno israelí.
“En este caso, el panorama general que surgió fue que los atacantes probablemente eran operadores vinculados a Irán que operaban a través del ecosistema del cibercrimen, utilizando marcas criminales de ransomware y técnicas asociadas con el mercado de extorsión más amplio, al tiempo que lograban los objetivos estratégicos de Irán”, señaló Check Point en marzo.
«Es probable que el uso de Qilin y su participación en programas relacionados sirva no sólo como una capa de cobertura y una negación plausible, sino también como un habilitador operativo significativo, especialmente porque los ataques anteriores parecen tener mayores medidas de seguridad y supervisión por parte de las autoridades israelíes».
Chaos es un grupo RaaS que surgió a principios de 2025. Conocido por su modelo de extorsión dual, el atacante promueve programas de afiliados en foros de ciberdelincuencia como RAMP y RehubCom.
Los ataques lanzados por organizaciones delictivas electrónicas a menudo se hacen pasar por personal de soporte de TI, utilizan una combinación de inundación de correo electrónico y vishing utilizando Teams para engañar a las víctimas para que instalen herramientas de acceso remoto como Microsoft Quick Assist, y utilizan ese punto de apoyo para penetrar más profundamente en el entorno de la víctima e implementar ransomware.
«El grupo también ha demostrado una triple extorsión al amenazar con ataques distribuidos de denegación de servicio (DDoS) contra la infraestructura de las víctimas», dijo Rapid7. «Según se informa, estas características se ofrecen a los afiliados como parte de un servicio incluido y representan una característica notable del modelo RaaS. Además, se ha observado que Chaos utiliza elementos de extorsión cuádruple, incluidas amenazas de contactar a clientes y competidores para aumentar la presión sobre las víctimas».
A finales de marzo de 2026, Chaos había anunciado 36 víctimas en su sitio de violación de datos. La mayoría de ellos están ubicados en los Estados Unidos. La construcción, la manufactura y los servicios empresariales son algunos de los sectores destacados a los que se dirige el grupo.
En la infracción analizada por Rapid7, los atacantes supuestamente iniciaron solicitudes de chat externas a través de Teams, involucraron a los empleados y obtuvieron acceso inicial a través de sesiones de uso compartido de pantalla, luego usaron cuentas de usuario comprometidas para realizar reconocimientos, usaron herramientas como DWAgent y AnyDesk para establecer persistencia, moverse lateralmente y robar datos. Luego se contactó a la víctima por correo electrónico para negociar el rescate.
«Durante la conexión, el TA (actor de amenazas) ejecutó comandos básicos de detección, accedió a archivos relacionados con la configuración de VPN de la víctima e indicó al usuario que ingresara las credenciales en un archivo de texto creado localmente», explicó Rapid7. «En al menos un caso, TA también implementó una herramienta de administración remota (AnyDesk) para facilitar aún más el acceso».
También se ha observado que los actores de amenazas utilizan RDP para descargar un archivo ejecutable (‘ms_upd.exe’) desde un servidor externo (‘172.86.126(.)208’) utilizando la utilidad curl. Una vez que se ejecuta el binario, comienza una cadena de infección de varios pasos que distribuye más componentes maliciosos.
A continuación se incluye una breve descripción de la familia de malware.
ms_upd.exe (también conocido como Stagecomp). Recopila información del sistema, se conecta a un servidor de comando y control (C2) y suelta la carga útil de la siguiente etapa (game.exe, WebView2Loader.dll y Visualwincomp.txt). game.exe (también conocido como Darkcomp). Se trata de un troyano de acceso remoto (RAT) personalizado que se hace pasar por una aplicación legítima de Microsoft WebView2. Esta es una versión troyanizada del proyecto oficial Microsoft WebView2APISample. WebView2Loader.dll. DLL legítima descargada por ms_upd.exe. Se requiere Microsoft Edge WebView2 para incrustar contenido web en aplicaciones de Windows. Visualwincomp.txt, la configuración cifrada utilizada por RAT para recuperar información C2.
La RAT se conecta al servidor C2 y entra en un bucle infinito, buscando nuevos comandos cada 60 segundos. Esto permite que RAT ejecute comandos o scripts de PowerShell, realice operaciones con archivos e inicie un shell cmd.exe interactivo o PowerShell.
El vínculo de la campaña con MuddyWater surge del uso de un certificado de firma de código que supuestamente pertenece a ‘Donald Gay’ para firmar ‘ms_upd.exe’. Este certificado fue utilizado anteriormente por el grupo de amenazas para firmar malware, incluido un descargador de CastleLoader llamado Fakeset.
Estos hallazgos resaltan la creciente concentración de intrusiones patrocinadas por el Estado y técnicas de delito cibernético que oscurecen la atribución y retrasan las respuestas defensivas apropiadas.
«El uso de un marco RaaS en este contexto podría permitir a los atacantes desdibujar la distinción entre actividades patrocinadas por el estado y delitos cibernéticos con motivación financiera, complicando así la atribución», dijo Rapid7. «Además, la inclusión de elementos de extorsión y negociación puede centrar los esfuerzos de defensa en los efectos inmediatos y retrasar la identificación de los mecanismos de persistencia subyacentes establecidos a través de herramientas de acceso remoto como DWAgent y AnyDesk».
«En particular, la aparente ausencia de cifrado de archivos a pesar de la presencia de artefactos del ransomware Chaos representa una desviación del comportamiento típico del ransomware. Esta discrepancia puede indicar que los componentes del ransomware actuaban principalmente como un mecanismo de facilitación u ofuscación, en lugar de como el propósito principal de la intrusión».
Este desarrollo se produce cuando Hunt.io reveló detalles de una operación vinculada a Irán dirigida a agencias gubernamentales de Omán que expuso más de 26.000 registros de usuarios del Ministerio de Justicia, datos judiciales, decisiones de comisiones y colmenas de registros SAM y SYSTEM.
«El directorio abierto de 172.86.76(.)127, un VPS de RouterHosting en los Emiratos Árabes Unidos, reveló una campaña de infiltración activa contra el gobierno de Omán, con kits de herramientas, código C2, registros de sesiones y datos exfiltrados, todo a la vista», dijo la compañía. «El objetivo principal era el Ministerio de Justicia (mjla.gov(.)om)».
El descubrimiento también coincide con la actividad continua de grupos hacktivistas proiraníes como Handara Haq, que publicó detalles de alrededor de 400 miembros del personal de la Marina de los EE. UU. en el Golfo Pérsico y afirmó haber llevado a cabo el ataque al puerto de Fujairah en los Emiratos Árabes Unidos, obteniendo acceso a sistemas internos y filtrando alrededor de 11.000 documentos clasificados relacionados con facturas, registros de envío y documentos aduaneros.
«Hace un mes, documentamos una escalada generalizada en las operaciones cibernéticas relacionadas con Irán, incluida la vigilancia con cámaras pirateadas, la filtración de miles de documentos ultrasecretos del ex jefe del estado mayor militar de Israel y un aumento visible en el volumen de ataques en toda la región. En ese momento, dijimos que era probable una mayor escalada», dijo a Hacker News Sergey Shkevich, gerente de grupo de Check Point Research.
«El presunto ataque al puerto de Fujairah, si se confirma, es una escalada de eso. Lo que ha cambiado es la naturaleza de la amenaza. Ya no se trata de recopilación de inteligencia y vergüenza pública. Los datos robados de la infraestructura portuaria supuestamente se utilizaron para permitir objetivos físicos con misiles».
«Los reinos cibernético y cinético ahora están claramente entrelazados. Esta campaña no se está desacelerando. Históricamente, los períodos de tranquilidad en el lado físico han sido seguidos por escaladas en la actividad cibernética, y lo que estamos viendo ahora es la manifestación más severa de ese patrón hasta la fecha».
Source link
