El grupo de piratería patrocinado por el estado iraní conocido como MuddyWater (también conocido como Mango Sandstorm, Seedworm y Static Kitten) ha sido atribuido a un ataque de ransomware en lo que se ha descrito como una operación de “bandera falsa”.
Se descubrió que el ataque, observado por Rapid7 a principios de 2026, aprovecha técnicas de ingeniería social a través de Microsoft Teams para iniciar la secuencia de infección. Aunque inicialmente el incidente parecía ser consistente con un grupo de ransomware como servicio (RaaS) que operaba bajo la marca Chaos, la evidencia apunta a que se trata de un ataque dirigido respaldado por el estado que se hace pasar por una extorsión oportunista.
“La campaña se caracterizó por una fase de ingeniería social de alto contacto realizada a través de Microsoft Teams, donde los atacantes utilizaron el uso compartido de pantalla interactivo para recopilar credenciales y manipular la autenticación multifactor (MFA)”, dijo Rapid7 en un informe compartido con The Hacker News.
“Una vez dentro, el grupo evitó los flujos de trabajo tradicionales de ransomware, renunciando al cifrado de archivos en favor de la exfiltración de datos y la persistencia a largo plazo a través de herramientas de administración remota como DWAgent”.
Los hallazgos indican que MuddyWater está intentando enturbiar los esfuerzos de atribución confiando cada vez más en herramientas disponibles en el mundo del cibercrimen para llevar a cabo sus ataques. Este cambio también ha sido documentado por Ctrl-Alt-Intel, Broadcom, Check Point y JUMPSEC en los últimos meses, destacando el uso de CastleRAT y Tsundere por parte del adversario.
Dicho esto, esta no es la primera vez que MuddyWater realiza ataques de ransomware. En septiembre de 2020, se atribuyó al actor de amenazas a una campaña dirigida a destacadas organizaciones israelíes con un cargador llamado PowGoop que implementaba una variante del ransomware Thanos con capacidades destructivas.
Luego, en 2023, Microsoft reveló que el grupo de piratas informáticos se asoció con DEV-1084, un actor de amenazas conocido por utilizar la personalidad DarkBit, para realizar ataques destructivos con el pretexto de implementar ransomware. En octubre de 2025, se cree que los atacantes utilizaron el ransomware Qilin para atacar un hospital del gobierno israelí.
“En este caso, el panorama emergente era que los atacantes probablemente eran operadores afiliados a Irán que trabajaban a través del ecosistema cibercriminal, utilizando una marca criminal de ransomware y métodos asociados con el mercado de extorsión más amplio, mientras servían a un objetivo estratégico iraní”, señaló Check Point en marzo.
“El uso de Qilin y la participación en su programa de afiliados probablemente sirva no sólo como una capa de cobertura y una negación plausible, sino también como un habilitador operativo significativo, especialmente porque los ataques anteriores parecen haber intensificado las medidas de seguridad y el monitoreo por parte de las autoridades israelíes”.
Chaos es un grupo RaaS que surgió a principios de 2025. Conocido por su modelo de doble extorsión, el actor de amenazas ha anunciado su programa de afiliados en foros de ciberdelincuencia, como RAMP y RehubCom.
Los ataques organizados por la banda de delitos electrónicos aprovechan una combinación de inundación de correo y vishing utilizando Teams, a menudo haciéndose pasar por personal de soporte de TI, para engañar a las víctimas para que instalen herramientas de acceso remoto como Microsoft Quick Assist, y luego abusar de ese punto de apoyo para profundizar en el entorno de la víctima e implementar ransomware.
“El grupo también ha demostrado una triple extorsión al amenazar con ataques distribuidos de denegación de servicio (DDoS) contra la infraestructura de la víctima”, dijo Rapid7. “Según se informa, estas capacidades se ofrecen a los afiliados como parte de servicios empaquetados, lo que representa una característica notable de su modelo RaaS. Además, se ha observado que Chaos aprovecha elementos de extorsión cuádruple, incluidas amenazas de contactar a clientes o competidores para aumentar la presión sobre las víctimas”.
A finales de marzo de 2026, Chaos se ha cobrado 36 víctimas en su sitio de filtración de datos, la mayoría de las cuales se encuentran en los EE. UU. La construcción, la manufactura y los servicios empresariales son algunos de los sectores destacados a los que apunta el grupo.
En la intrusión analizada por Rapid7, se dice que el actor de amenazas inició solicitudes de chat externo a través de Teams para interactuar con los empleados y obtener acceso inicial a través de sesiones de uso compartido de pantalla, seguido de utilizar cuentas de usuario comprometidas para realizar reconocimiento, establecer persistencia utilizando herramientas como DWAgent y AnyDesk, moverse lateralmente y filtrar datos. Luego se contactó a la víctima por correo electrónico para negociar el rescate.
“Mientras estaba conectado, el TA (actor de amenazas) ejecutó comandos de descubrimiento básicos, accedió a archivos relacionados con la configuración de VPN de la víctima e indicó a los usuarios que ingresaran sus credenciales en archivos de texto creados localmente”, explicó Rapid7. “En al menos un caso, la AT también implementó una herramienta de gestión remota (AnyDesk) para facilitar aún más el acceso”.
También se ha observado que el actor de amenazas usa RDP para descargar un ejecutable (“ms_upd.exe”) desde un servidor externo (“172.86.126(.)208”) usando la utilidad curl. Tras su ejecución, el binario inicia una cadena de infección de varias etapas que entrega más componentes maliciosos.
A continuación se incluye una breve descripción de las familias de malware:
- ms_upd.exe (también conocido como Stagecomp), que recopila información del sistema y llega a un servidor de comando y control (C2) para eliminar cargas útiles de la siguiente etapa (game.exe, WebView2Loader.dll y visualwincomp.txt).
- game.exe (también conocido como Darkcomp), que es un troyano de acceso remoto (RAT) personalizado que se hace pasar por una aplicación legítima de Microsoft WebView2. Es una versión troyanizada del proyecto oficial Microsoft WebView2APISample.
- WebView2Loader.dll, una DLL legítima descargada por ms_upd.exe. Microsoft Edge WebView2 lo requiere para incrustar contenido web en aplicaciones de Windows.
- visualwincomp.txt, una configuración cifrada utilizada por la RAT para obtener la información C2.
El RAT se conecta al servidor C2 y entra en un bucle infinito para sondear nuevos comandos cada 60 segundos, lo que le permite ejecutar comandos o scripts de PowerShell, realizar operaciones con archivos y generar un shell cmd.exe interactivo o PowerShell.
Los vínculos de la campaña con MuddyWater surgen del uso de un certificado de firma de código atribuido a “Donald Gay” para firmar “ms_upd.exe”. El certificado ha sido utilizado previamente por el grupo de amenazas para firmar su malware, incluido un descargador CastleLoader llamado Fakeset.
Estos hallazgos subrayan la creciente convergencia de la actividad de intrusión patrocinada por el Estado y el arte de los ciberdelincuentes para oscurecer la atribución y retrasar la respuesta defensiva adecuada.
“El uso de un marco RaaS en este contexto puede permitir al actor difuminar las distinciones entre actividades patrocinadas por el estado y delitos cibernéticos motivados financieramente, complicando así la atribución”, dijo Rapid7. “Además, la inclusión de elementos de extorsión y negociación podría servir para centrar los esfuerzos defensivos en el impacto inmediato, probablemente retrasando la identificación de mecanismos de persistencia subyacentes establecidos a través de herramientas de acceso remoto como DWAgent o AnyDesk”.
“En particular, la aparente ausencia de cifrado de archivos, a pesar de la presencia de artefactos del ransomware Chaos, representa una desviación del comportamiento típico del ransomware. Esta inconsistencia puede indicar que el componente del ransomware funcionó principalmente como un mecanismo de facilitación u ofuscación, en lugar de como el objetivo principal de la intrusión”.
El desarrollo se produce cuando Hunt.io reveló detalles de una operación de nexo iraní dirigida a instituciones gubernamentales de Omán para exfiltrar más de 26.000 registros de usuarios del Ministerio de Justicia, datos de casos judiciales, decisiones de comités y colmenas de registros SAM y SYSTEM.
“Un directorio abierto en 172.86.76(.)127, un VPS de RouterHosting en los Emiratos Árabes Unidos, reveló una campaña de intrusión activa contra el gobierno de Omán, con el conjunto de herramientas, el código C2, los registros de sesión y los datos exfiltrados, todos a la vista”, dijo la compañía. “El objetivo principal era el Ministerio de Justicia y Asuntos Jurídicos (mjla.gov(.)om).”
El descubrimiento también coincide con la actividad continua de grupos hacktivistas alineados con Irán, como Handala Hack, que afirmó haber publicado detalles sobre casi 400 miembros del personal de la Armada de los EE. UU. en el Golfo Pérsico y llevado a cabo un ataque al puerto de Fujairah en los Emiratos Árabes Unidos, lo que le permitió obtener acceso a sus sistemas internos y filtrar alrededor de 11.000 documentos confidenciales relacionados con facturas, registros de envío y documentos aduaneros.
“Hace un mes, documentamos una amplia escalada en las operaciones cibernéticas vinculadas a Irán: vigilancia a través de cámaras pirateadas, la filtración de miles de documentos altamente confidenciales del ex Jefe del Estado Mayor Militar de Israel y un aumento mensurable en el volumen de ataques en toda la región. Dijimos entonces que era probable una mayor escalada”, dijo Sergey Shykevich, gerente de grupo de Check Point Research, a The Hacker News.
“El presunto ataque al puerto de Fujairah es esa escalada, si se confirma. Lo que ha cambiado es la naturaleza de la amenaza: ya no se trata de recopilación de inteligencia o de vergüenza pública. Los datos robados de la infraestructura portuaria supuestamente se utilizaron para permitir objetivos físicos con misiles”.
“Los dominios cibernético y cinético ahora están conectados explícitamente. Esta campaña no se está desacelerando. Históricamente, cada período de tranquilidad en el frente físico ha sido seguido por una actividad cibernética intensificada, y lo que estamos viendo ahora es la manifestación más grave de ese patrón hasta la fecha”.
