El grupo patrocinado por el estado iraní conocido como MuddyWater (también llamado Mango Sandstorm, Seedworm y Static Kitten) ha sido vinculado a un ataque de ransomware que se describe como una operación de 'bandera falsa'. El incidente, detectado por Rapid7 a principios de 2026, emplea técnicas de ingeniería social mediante Microsoft Teams para iniciar la secuencia de infección. Aunque inicialmente parecía coincidir con un grupo de ransomware como servicio (RaaS) que opera bajo la marca Chaos, la evidencia apunta a un ataque dirigido respaldado por un estado que se hace pasar por extorsión oportunista.
La campaña se caracterizó por una fase de ingeniería social de alto contacto realizada a través de Microsoft Teams, donde los atacantes utilizaron el uso compartido de pantalla interactivo para robar credenciales y manipular la autenticación multifactor (MFA).
Una vez dentro, el grupo eludió los flujos de trabajo típicos de ransomware, renunciando al cifrado de archivos en favor de la exfiltración de datos y la persistencia a largo plazo mediante herramientas de administración remota como DWAgent. Los hallazgos indican que MuddyWater intenta difuminar la atribución al depender cada vez más de herramientas comerciales disponibles en el submundo del cibercrimen.
No es la primera vez que MuddyWater lleva a cabo ataques de ransomware. En septiembre de 2020, se atribuyó al actor una campaña contra organizaciones israelíes con un cargador llamado PowGoop que implementaba una variante de Thanos ransomware con capacidades destructivas. En 2023, Microsoft reveló que el grupo se asoció con DEV-1084 para realizar ataques destructivos bajo el pretexto de implementar ransomware. En octubre de 2025, se cree que los atacantes utilizaron el ransomware Qilin para atacar un hospital gubernamental israelí.
En este caso, el panorama emergente era que los atacantes eran probablemente operadores afiliados a Irán que trabajaban a través del ecosistema criminal cibernético, utilizando una marca de ransomware criminal y métodos asociados con el mercado de extorsión más amplio, mientras servían a un objetivo estratégico iraní.
Chaos es un grupo RaaS que surgió a principios de 2025. Conocido por su modelo de doble extorsión, el actor ha anunciado su programa de afiliados en foros de cibercrimen como RAMP y RehubCom. Los ataques del grupo utilizan una combinación de inundación de correo electrónico y vishing a través de Teams, a menudo haciéndose pasar por personal de soporte de TI, para engañar a las víctimas e instalar herramientas de acceso remoto como Microsoft Quick Assist.
El grupo también ha demostrado triple extorsión al amenazar con ataques de denegación de servicio distribuido (DDoS) contra la infraestructura de la víctima. Estas capacidades se ofrecen a los afiliados como parte de servicios empaquetados. Además, Chaos ha sido observado utilizando elementos de cuádruple extorsión, incluyendo amenazas de contactar a clientes o competidores para aumentar la presión sobre las víctimas.
Hasta finales de marzo de 2026, Chaos ha reclamado 36 víctimas en su sitio de filtración de datos, la mayoría ubicadas en EE. UU. Los sectores de construcción, manufactura y servicios empresariales son algunos de los principales objetivos del grupo.
En la intrusión analizada por Rapid7, el actor de amenazas inició solicitudes de chat externas a través de Teams para interactuar con empleados y obtener acceso inicial mediante sesiones de uso compartido de pantalla. Luego, utilizaron cuentas de usuario comprometidas para realizar reconocimiento, establecer persistencia con herramientas como DWAgent y AnyDesk, moverse lateralmente y exfiltrar datos. La víctima fue contactada por correo electrónico para negociaciones de rescate.
Mientras estaba conectado, el TA ejecutó comandos básicos de descubrimiento, accedió a archivos relacionados con la configuración de VPN de la víctima e instruyó a los usuarios para que ingresaran sus credenciales en archivos de texto creados localmente. En al menos un caso, el TA también implementó una herramienta de administración remota (AnyDesk) para facilitar aún más el acceso.
El actor también fue observado usando RDP para descargar un ejecutable ('ms_upd.exe') de un servidor externo ('172.86.126[.]208') utilizando la utilidad curl. Al ejecutarse, el binario inicia una cadena de infección de múltiples etapas que entrega componentes maliciosos. A continuación, una breve descripción de las familias de malware:
- ms_upd.exe (también conocido como Stagecomp): recopila información del sistema y se conecta a un servidor de comando y control (C2) para dejar cargas útiles de siguiente etapa (game.exe, WebView2Loader.dll y visualwincomp.txt).
- game.exe (también conocido como Darkcomp): un troyano de acceso remoto (RAT) personalizado que se hace pasar por una aplicación legítima de Microsoft WebView2. Es una versión troyanizada del proyecto oficial Microsoft WebView2APISample.
- WebView2Loader.dll: una DLL legítima descargada por ms_upd.exe. Es necesaria para que Microsoft Edge WebView2 incruste contenido web en aplicaciones de Windows.
- visualwincomp.txt: una configuración encriptada utilizada por el RAT para obtener la información del C2.
El RAT se conecta al servidor C2 y entra en un bucle infinito para sondear nuevos comandos cada 60 segundos, lo que le permite ejecutar comandos o scripts de PowerShell, realizar operaciones de archivos y generar un shell cmd.exe o PowerShell interactivo.
Los vínculos de la campaña con MuddyWater provienen del uso de un certificado de firma de código atribuido a 'Donald Gay' para firmar 'ms_upd.exe'. El certificado ha sido utilizado previamente por el grupo para firmar su malware, incluido un descargador CastleLoader llamado Fakeset.
Estos hallazgos subrayan la creciente convergencia de la actividad de intrusión patrocinada por estados y las tácticas del cibercrimen para oscurecer la atribución y retrasar una respuesta defensiva adecuada. El uso de un marco RaaS en este contexto puede permitir al actor difuminar las distinciones entre la actividad patrocinada por el estado y el cibercrimen financiero, complicando así la atribución.
La aparente ausencia de cifrado de archivos, a pesar de la presencia de artefactos de ransomware Chaos, representa una desviación del comportamiento típico del ransomware. Esta inconsistencia puede indicar que el componente de ransomware funcionó principalmente como un mecanismo facilitador o de ofuscación, en lugar de ser el objetivo principal de la intrusión.
Sergey Shykevich, gerente de grupo en Check Point Research, señaló que el uso de herramientas de cibercrimen entre grupos de amenazas iraníes, incluido MuddyWater, ha ido en aumento. Este enfoque les brinda una flexibilidad operativa considerablemente mayor y acceso a conjuntos de herramientas extensos sin necesidad de inversión interna en desarrollo.
El desarrollo coincide con la revelación de Hunt.io sobre una operación vinculada a Irán que tenía como objetivo instituciones gubernamentales de Omán, exfiltrando más de 26,000 registros de usuarios del Ministerio de Justicia, datos de casos judiciales, decisiones de comités y archivos de registro SAM y SYSTEM. Un directorio abierto en 172.86.76[.]127 expuso una campaña de intrusión activa contra el gobierno omaní, con el kit de herramientas, el código C2, los registros de sesión y los datos exfiltrados a la vista.
El descubrimiento también coincide con la actividad continua de grupos hacktivistas alineados con Irán, como Handala Hack, que ha afirmado haber publicado detalles de casi 400 miembros del personal de la Marina de EE. UU. en el Golfo Pérsico y haber llevado a cabo un ataque en el Puerto de Fujairah en los Emiratos Árabes Unidos, filtrando unos 11,000 documentos sensibles relacionados con facturas, registros de envío y documentos aduaneros.
El ciberespacio y el dominio cinético ahora están explícitamente conectados. Esta campaña no se está desacelerando. Cada período de silencio en el frente físico ha sido históricamente seguido por una intensificación de la actividad cibernética, y lo que estamos viendo ahora es la manifestación más grave de ese patrón hasta la fecha.
