Les hackers iraniens de MuddyWater ont masqué leurs activités sous l’apparence d’une attaque de ransomware Chaos, en exploitant l’ingénierie sociale sur Microsoft Teams pour s’infiltrer et maintenir leur présence.
L’opération a intégré le vol de identifiants, l’établissement de persistance, l’accès distant, l’exfiltration de données, des courriels d’extorsion et une publication sur le portail de fuites de Chaos. Pourtant, l’infrastructure et les méthodes employées correspondent aux pratiques de MuddyWater.
Selon les experts de Rapid7, cette composante ransomware servait probablement à dissimuler une opération de cyberespionnage et à brouiller les pistes d’attribution.
Les chercheurs soulignent une fusion entre techniques d’intrusion étatiques et pratiques criminelles, avec des indices révélateurs dans les outils utilisés ou absents, indiquant un objectif principal éloigné du profit financier.
Rapid7 attribue l’incident à MuddyWater – également appelé Static Kitten, Mango Sandstorm ou Seedworm – avec une confiance modérée, appuyée par des chevauchements d’infrastructure, un certificat de signature de code spécifique pour les malwares Stagecomp et Darkcomp, et des modes opératoires distinctifs.
MuddyWater opère comme un groupe de cyberespionnage soutenu par l’État iranien, lié au Ministère du Renseignement et de la Sécurité (MOIS), et connu pour des campagnes d’intrusion prolongées.
Chaos désigne une opération ransomware-as-a-service (RaaS) apparue en 2025, spécialisée dans les attaques de chasse aux grandes cibles, les tactiques de double extorsion et l’ingénierie sociale visant principalement des entités américaines.
Étapes de l’intrusion
L’attaque analysée par Rapid7 débute par de l’ingénierie sociale sur Microsoft Teams : les assaillants contactent des employés, initient des sessions de partage d’écran, capturent des identifiants, altèrent les paramètres de multi-factor authentication (MFA) et déploient parfois AnyDesk pour un accès distant.
Le vol de identifiants s’effectue via des pages de phishing imitant Microsoft Quick Assist ou en incitant les victimes à saisir leurs mots de passe dans des fichiers texte locaux.
Une fois les comptes compromis, les attaquants accèdent aux systèmes internes, y compris un contrôleur de domaine, et assurent leur persistance via RDP, DWAgent et AnyDesk.
Ils déploient ensuite un chargeur de malware (ms_upd.exe) qui installe une backdoor personnalisée (Game.exe), camouflée en application Microsoft WebView2.
Ce malware intègre des vérifications anti-analyse et anti-machines virtuelles, et gère 12 commandes, telles que l’exécution de PowerShell et CMD, le téléversement et la suppression de fichiers, ainsi qu’un accès shell persistant.
Overview of the attack
Source: Rapid7
Rapid7 rappelle que MuddyWater a déjà recours au ransomware pour occulter ses opérations d’espionnage. Fin 2025, le groupe a utilisé Qilin contre une organisation israélienne.
Les analystes estiment que le passage à une autre marque de ransomware pourrait découler de l’attribution de cette attaque à des agents du MOIS.