O grupo APT iraniano MuddyWater implantou o ransomware Chaos como uma "falsa bandeira" em uma campanha de espionagem híbrida sofisticada que visa organizações ocidentais, contornando a criptografia em favor do roubo de dados e persistência de longo prazo. No início de 2026, respondedores de incidentes da Rapid7 foram chamados para o que inicialmente parecia uma intrusão rotineira de ransomware Chaos, mas a análise forense revelou rapidamente algo muito mais calculado sob a superfície.
Operação de falsa bandeira
O ataque, embora apresentando todas as marcas visuais de uma campanha de extorsão motivada financeiramente, foi avaliado com confiança moderada como uma operação patrocinada por estado ligada ao MuddyWater (também rastreado como Mango Sandstorm, Seedworm e Static Kitten), um grupo de Ameaça Persistente Avançada (APT) afiliado ao Ministério de Inteligência e Segurança (MOIS).
Em vez de criptografar arquivos para resgate, o ator de ameaça focou exclusivamente na coleta de credenciais, exfiltração de dados e persistência de longo prazo, marcas de coleta de inteligência, não de cibercrime. De acordo com o relatório da Rapid7, a campanha representa uma estratégia deliberada de "falsa bandeira": os operadores adotaram a marca de ransomware-as-a-service (RaaS) Chaos para projetar uma identidade criminal enquanto conduzem operações de espionagem clandestina contra organizações nos Estados Unidos e na região MENA.
Microsoft Teams como vetor de ataque
A intrusão começou com solicitações de chat externas não solicitadas enviadas a funcionários via Microsoft Teams. Uma vez estabelecido o contato, o ator de ameaça iniciou sessões de compartilhamento de tela interativas, aproveitando a visibilidade direta nas áreas de trabalho dos usuários para executar comandos de descoberta, incluindo ipconfig /all, whoami e net start.
Vítimas foram explicitamente instruídas a digitar suas credenciais em arquivos de texto criados localmente nomeados credentials.txt e cred.txt e a adicionar dispositivos controlados pelos atacantes às suas configurações de MFA.
Essa técnica reflete uma tendência mais ampla de engenharia social baseada em Teams que aumentou em 2026. A Microsoft Defender Research documentou uma campanha em larga escala de roubo de credenciais em março de 2026 que explorou o ambiente confiável do Teams para contornar controles de segurança tradicionais.
Persistência e malware personalizado
Após a comprometimento de credenciais, o ator de ameaça se autenticou em sistemas internos, incluindo Controladores de Domínio, e implantou a ferramenta de gerenciamento remoto DWAgent junto com AnyDesk para estabelecer acesso persistente.
Subsequentemente, um downloader personalizado, ms_upd.exe, foi entregue via curl da infraestrutura C2 em 172.86.126[.]208:443. O downloader coletou informações do host, gerou um identificador de cliente único e registrou a vítima com o domínio C2 moonzonet[.]com antes de recuperar um payload de três componentes: um WebView2Loader.dll legítimo, um arquivo de configuração criptografado (visualwincomp.txt) e o backdoor principal, Game.exe.
O Game.exe é um Remote Access Trojan (RAT) personalizado que se disfarça como um aplicativo legítimo do Microsoft WebView2, trojanizando o projeto oficial WebView2APISample. O RAT implementa 12 capacidades principais, incluindo execução arbitrária de comandos via cmd.exe oculto ou sessões PowerShell codificadas, uploads de arquivos em chunks, estabelecimento de shell interativo e exclusão de arquivos, tudo relatado ao servidor C2 uploadfiler[.]com na porta 443.
Evidências de atribuição
O pivô técnico que abriu a falsa bandeira foi um certificado de assinatura de código emitido sob o nome "Donald Gay" pela Microsoft ID Verified CS AOC CA 02, com thumbprint B674578D4BDB24CD58BF2DC884EAA658B7AA250C. Este certificado é um recurso compartilhado conhecido na ferramenta do MuddyWater, diretamente ligado por múltiplos fornecedores de inteligência de ameaças à "Operation Olalampo", uma campanha de 2026 que visa organizações dos EUA e MENA.
Artefatos técnicos adicionais reforçaram a atribuição. O domínio C2 moonzonet[.]com foi ligado à atividade do MuddyWater no início de 2026 durante uma onda que visava organizações israelenses e ocidentais. O uso característico do grupo de pythonw.exe para injetar código em processos suspensos também foi observado como uma marca consistente de sua cadeia de implantação.
Recomendações de defesa
Equipes de segurança devem tratar os seguintes comportamentos como indicadores de ameaça de alta prioridade:
- Solicitações de chat externas não solicitadas do Microsoft Teams seguidas por solicitações de compartilhamento de tela, especialmente de contas que se passam por suporte de TI.
- Arquivos de credenciais (
credentials.txt,cred.txt) criados em diretórios acessíveis ao usuário, indicando sessões de engenharia social interativas. - Implantação de duas ferramentas de acesso remoto (DWAgent + AnyDesk) junto com movimento lateral via RDP — um padrão inconsistente com operações de TI legítimas.
- Mudanças de configuração de MFA originadas de sessões ou dispositivos incomuns não associados ao usuário afetado.
- Conexões de saída para
moonzonet[.]com,uploadfiler[.]comouadm-pulse[.]com, que serviram como infraestrutura C2 e de phishing nesta campanha.