- La APT MuddyWater iraní se hace pasar por personal de TI a través de Microsoft Teams, engañando a las víctimas para que concedan acceso remoto
- Implementaron ladrones de información, cambiaron MFA, exfiltraron datos y organizaron una infección de ransomware Chaos como tapadera.
- Los investigadores concluyeron que el verdadero motivo era el espionaje, no el lucro, destacando la superposición del comercio patrocinado por el Estado con tácticas criminales.
Los piratas informáticos patrocinados por el Estado de Irán lanzaron una campaña de ciberespionaje y luego intentaron desviar a los investigadores con infecciones de ransomware, advirtieron los expertos.
Una investigación sobre el reciente ataque realizado por investigadores de seguridad a Rapid7 mostró cómo alguien ajeno a su organización contactó recientemente a una víctima anónima a través de Microsoft Teams. Se hicieron pasar por técnicos de TI, discutieron la solución de un problema técnico con la víctima y lograron instalar y ejecutar una sesión de AnyDesk.
Después de obtener acceso remoto, implementaron varios malware y variantes de Infostellar, recopilaron credenciales y cambiaron la configuración de autenticación multifactor (MFA), establecieron persistencia y extrajeron información confidencial de puntos finales ahora comprometidos.
Muddy Water está detrás del ataque
El último paso fue instalar Chaos Ransomware Encryptor. Caos es una operación RaaS relativamente nueva, observada por primera vez en 2025, y es conocida por apuntar a grandes entidades, tácticas de doble donación e ingeniería social.
La mayoría de sus víctimas se encuentran en Estados Unidos. Las víctimas de este ataque incluso fueron agregadas al sitio de filtración de datos de Chaos, lo que hizo que pareciera que se trataba de un ataque de ransomware.
Sin embargo, el Rapid7 no se deja engañar. Después de analizar tácticas, certificados de firma de código y otras técnicas operativas, los investigadores determinaron, con confianza moderada, que esto era en realidad trabajo de MuddyWater, un actor de amenazas conocido como Static Kitten, Mango Sandstorm y Seedworm.
“La estrategia destaca la convergencia entre la actividad de infiltración patrocinada por el Estado y el arte criminal, con un gran “indicador” sobre qué estrategias se implementaron y cuáles no. Esta estrategia sugiere que la ganancia financiera no era el objetivo principal”, dijo Rapid7 en su informe.
Al parecer, MuddyWater está en la nómina del Ministerio de Inteligencia y Seguridad de Irán (MOIS). El gobierno iraní tiene múltiples grupos de hackers cumpliendo sus órdenes, principalmente ciberespionaje y recopilación de datos. Estos incluyen CyberAv3ngers, APT35 (también conocido como Charming Kitten) y APT 34 (también conocido como OilRig o Helix Kitten).
a través de Computadora pitando
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
