Un grupo de amenazas vinculado a la inteligencia iraní ha estado ejecutando una operación de bandera falsa durante meses para piratear organizaciones en los EE. UU. y otros países bajo la apariencia de un grupo criminal de ransomware. según un informe publicado el miércoles por investigadores de Rapid7.
El grupo de amenazas patrocinado por el estado, rastreado como MuddyWater, operó una campaña de ingeniería social a partir de principios de 2026 que abusó de Microsoft Teams para recopilar credenciales y eludir la autenticación multifactor.
Se hizo que los ataques parecieran obra de Chaos, un grupo de ransomware como servicio que ha estado activo desde 2025. Los investigadores dijeron que la bandera falsa crea ambigüedad que podría afectar la forma en que los equipos de seguridad investigan una intrusión.
«Si una operación parece ransomware, los defensores pueden tratarla inicialmente como un delito cibernético con motivación financiera en lugar de una operación vinculada al estado», dijo Christiaan Beek, vicepresidente de inteligencia cibernética de Rapid7, a Cybersecurity Dive. «Eso puede retardar la atribución, complicar la respuesta y darle al actor una negación plausible».
El grupo Caos surgió después de que una operación internacional de aplicación de la ley, llamada Operación Jaque Mate, derribara el infraestructura detrás del grupo de ransomware BlackSuit. Según el Departamento de Justicia, BlackSuit, también conocido como Royal, estuvo vinculado a unos 450 ataques desde 2022, con ingresos por extorsión de más de 370 millones de dólares.
Chaos ransomware ha utilizado phishing de voz y suplantación de identidad de TI para iniciar ataques y el grupo anuncia sus servicios RaaS en foros clandestinos, según Rapid7. Hasta marzo, el grupo se había cobrado 36 víctimas, principalmente en los sectores de la construcción, la manufactura y los servicios empresariales, y la mayoría de los ataques se produjeron en Estados Unidos.
Según Rapid7, los recientes ataques de MuddyWater parecen estar dirigidos a organizaciones de valor estratégico para Irán, incluidos algunos objetivos gubernamentales.
Los ataques de ingeniería social de MuddyWater utilizaron Microsoft Teams para llegar a los empleados de una organización específica con solicitudes de chat. Los piratas informáticos iniciaron sesiones para compartir pantalla con las víctimas, a quienes se les pidió que ingresaran sus credenciales en un archivo de texto creado localmente. Los piratas informáticos utilizaron esas credenciales para evitar la autenticación multifactor.
Se utilizó una herramienta de acceso remoto llamada DWAgent para ganar persistencia ante el uso de malware. También se encontró un troyano de acceso remoto personalizado llamado Game.exe.
Los grupos amenazadores han utilizado tácticas de distracción similares en el pasado. Los investigadores dijeron que a pesar de las tácticas engañosas de presentar los ataques como ransomware Chaos, los ataques recientes tienen una firma digital afiliada al Ministerio de Inteligencia y Seguridad de Irán.
Más allá de los ataques contra objetivos estadounidenses, la telemetría muestra objetivos en otras regiones, incluidos Oriente Medio y el sur de Asia. Se localizaron ataques específicos contra objetivos en Jordania y Australia.
Fuente