**MuddyWater** (auch bekannt als Mango Sandstorm, Seedworm und Static Kitten) wurde mit einem kürzlichen Ransomware-Angriff in Verbindung gebracht, der als "False Flag"-Operation konzipiert war. Die Gruppe ist für ihre hochentwickelten Kampagnen bekannt, die auf verschiedene Sektoren abzielen. ### Social Engineering über Microsoft Teams Von **Rapid7** Anfang 2026 beobachtet, nutzt der Angriff Social Engineering-Techniken über **Microsoft Teams**, um die Infektion einzuleiten. Obwohl es zunächst wie die Arbeit der **Chaos** Ransomware-as-a-Service (RaaS)-Gruppe aussah, deuten Beweise auf eine gezielte, staatlich unterstützte Operation hin, die sich als opportunistische Erpressung ausgibt. "Die Kampagne zeichnete sich durch eine intensive Social Engineering-Phase aus, die über **Microsoft Teams** durchgeführt wurde, wobei die Angreifer interaktives Screen-Sharing nutzten, um Anmeldeinformationen zu stehlen und Multi-Faktor-Authentifizierung (MFA) zu manipulieren", heißt es in dem Bericht von **Rapid7**. Anstatt traditioneller Datei-Verschlüsselung konzentrierte sich die Gruppe auf Datenexfiltration und die Etablierung langfristiger Persistenz mithilfe von Remote-Management-Tools wie DWAgent. ### Die Grenzen verwischen: Standardwerkzeuge **MuddyWater** setzt zunehmend auf leicht verfügbare Werkzeuge aus dem Cybercrime-Untergrund, um die Zuordnungsbemühungen zu erschweren. Dieser Trend wurde von **Ctrl-Alt-Intel**, **Broadcom**, **Check Point** und **JUMPSEC** festgestellt und unterstreicht die Nutzung von CastleRAT und Tsundere durch die Gruppe. ### MuddyWaters Geschichte mit Ransomware Dies ist nicht das erste Mal, dass **MuddyWater** Ransomware-Angriffe durchführt. Im September 2020 wurde die Gruppe mit einer Kampagne in Verbindung gebracht, die israelische Organisationen mit einem Loader namens PowGoop ins Visier nahm, der eine **Thanos**-Ransomware-Variante einsetzte. Im Jahr 2023 enthüllte **Microsoft**, dass die Gruppe mit DEV-1084 (bekannt für die Verwendung der DarkBit-Persona) zusammenarbeitete, um zerstörerische Angriffe unter dem Deckmantel der Ransomware-Bereitstellung durchzuführen. Noch im Oktober 2025 sollen die Angreifer die **Qilin**-Ransomware eingesetzt haben, um ein israelisches Krankenhaus der Regierung anzugreifen. ### Die Chaos RaaS-Verbindung "In diesem Fall zeichnete sich das Bild ab, dass die Angreifer wahrscheinlich iranisch affiliierte Akteure waren, die über das Cybercrime-Ökosystem arbeiteten, eine kriminelle Ransomware-Marke und Methoden nutzten, die mit dem breiteren Erpressungsmarkt verbunden sind, während sie ein strategisches iranisches Ziel verfolgten", bemerkte **Check Point**. **Chaos**, eine RaaS-Gruppe, die Anfang 2025 auftauchte, ist bekannt für ihr Double-Extortion-Modell und wirbt ihr Partnerprogramm auf Cybercrime-Foren an. Angriffe von **Chaos** beinhalten Mail-Flooding und Vishing über **Teams**, wobei oft IT-Support-Mitarbeiter imitiert werden, um Opfer dazu zu bringen, Remote-Zugriffstools wie **Microsoft Quick Assist** zu installieren. **Rapid7** stellte auch fest, dass **Chaos** Triple Extortion demonstriert hat, indem es Distributed Denial-of-Service (DDoS)-Angriffe androhte, und Quadruple Extortion, indem es damit drohte, Kunden oder Wettbewerber zu kontaktieren.  Ende März 2026 beanspruchte **Chaos** 36 Opfer auf seiner Leak-Seite, hauptsächlich in den USA, und zielte auf Sektoren wie Bauwesen, Fertigung und Unternehmensdienstleistungen ab. ### Angriffsmethodik Die von **Rapid7** analysierte Intrusion zeigte, wie der Bedrohungsakteur externe Chat-Anfragen über **Teams** initiierte, um Mitarbeiter anzusprechen und durch Screen-Sharing den initialen Zugriff zu erhalten. Anschließend nutzten sie kompromittierte Konten für die Aufklärung, etablierten Persistenz mit Tools wie DWAgent und AnyDesk, bewegten sich lateral und exfiltrierten Daten, bevor sie mit dem Opfer für Ransom-Verhandlungen Kontakt aufnahmen. "Während der Verbindung führte der TA [Bedrohungsakteur] grundlegende Discovery-Befehle aus, griff auf Dateien zu, die sich auf die VPN-Konfiguration des Opfers bezogen, und wies die Benutzer an, ihre Anmeldeinformationen in lokal erstellte Textdateien einzugeben", erklärte **Rapid7**. "In mindestens einem Fall setzte der TA auch ein Remote-Management-Tool (AnyDesk) ein, um den Zugriff weiter zu erleichtern." Der Bedrohungsakteur nutzte auch RDP, um eine ausführbare Datei ("ms_upd.exe") von einem externen Server mit dem Curl-Dienstprogramm herunterzuladen und eine mehrstufige Infektionskette zu initiieren. ### Malware-Analyse Zu den wichtigsten Malware-Komponenten gehören: * `ms_upd.exe` (auch bekannt als Stagecomp): Sammelt Systeminformationen und verbindet sich mit einem Command-and-Control (C2)-Server, um nachfolgende Payloads abzulegen. * `game.exe` (auch bekannt als Darkcomp): Ein maßgeschneiderter Remote-Access-Trojaner (RAT), der sich als legitime **Microsoft WebView2**-Anwendung ausgibt. Es ist eine trojanisierte Version des offiziellen **Microsoft** WebView2APISample-Projekts. * `WebView2Loader.dll`: Eine legitime DLL, die von **Microsoft Edge WebView2** benötigt wird. * `visualwincomp.txt`: Eine verschlüsselte Konfiguration, die vom RAT verwendet wird, um C2-Informationen zu erhalten. Der RAT verbindet sich alle 60 Sekunden mit dem C2-Server und fragt nach neuen Befehlen, was ihm ermöglicht, Befehle, PowerShell-Skripte auszuführen, Dateioperationen durchzuführen und eine interaktive cmd.exe-Shell oder PowerShell zu starten. ### Zuordnung zu MuddyWater Die Verbindungen der Kampagne zu **MuddyWater** werden durch die Verwendung eines Code-Signing-Zertifikats gestützt, das "Donald Gay" zugeschrieben wird, um "ms_upd.exe" zu signieren. Dieses Zertifikat wurde zuvor von der Bedrohungsgruppe verwendet, um ihre Malware zu signieren, einschließlich eines CastleLoader-Downloaders namens Fakeset.