**MuddyWater**, ein vom iranischen Staat gesponserter Bedrohungsakteur, wurde dabei beobachtet, wie er seine Operationen als **Chaos**-Ransomware-Angriff tarnt. Die Gruppe setzte auf Social Engineering über **Microsoft Teams**, um initialen Zugriff zu erlangen und die Persistenz in kompromittierten Systemen zu etablieren. ### Köder-Ransomware Obwohl der Angriff Anmeldedatendiebstahl, Persistenz, Fernzugriff, Datenexfiltration, Erpresser-E-Mails und sogar eine Auflistung auf der **Chaos**-Leak-Seite umfasste, stellten die Ermittler fest, dass die eingesetzte Infrastruktur und die Techniken mit früheren **MuddyWater**-Kampagnen übereinstimmten. **Rapid7**-Forscher glauben, dass die Ransomware-Komponente strategisch eingesetzt wurde, um das eigentliche Ziel – Cyber-Spionage – zu verschleiern und die Zuordnungsbemühungen zu erschweren. "Die Strategie unterstreicht die Konvergenz zwischen staatlich geförderten Eindringaktivitäten und kriminellen Methoden, wobei ein großes Indiz in den eingesetzten – und nicht eingesetzten – Techniken liegt. Diese Strategie deutet darauf hin, dass das Hauptziel nicht der finanzielle Gewinn war", [erklärt Rapid7](https://www.rapid7.com/blog/post/tr-muddying-tracks-state-sponsored-shadow-behind-chaos-ransomware/). Trotz der trügerischen Fassade äußert **Rapid7** moderate Zuversicht bei der Zuordnung des Vorfalls zu **MuddyWater**, einer Bedrohungsgruppe, die auch als Static Kitten, Mango Sandstorm und Seedworm bekannt ist. Diese Zuordnung basiert auf überlappender Infrastruktur, einem spezifischen Code-Signing-Zertifikat, das zuvor von der Gruppe zum Signieren von Stagecomp- und Darkcomp-Malware verwendet wurde, sowie auf gemeinsamen operativen Taktiken, Techniken und Prozeduren (TTPs). **MuddyWater** ist bekannt für die Durchführung langfristiger Netzwerk-Intrusionskampagnen, die oft mit den Zielen des iranischen Ministeriums für Nachrichtendienste und Sicherheit (MOIS) übereinstimmen. **Chaos** ist eine Ransomware-as-a-Service (RaaS)-Operation, die 2025 aufkam und für ihre Big-Game-Hunting-Taktiken, Double-Extortion-Methoden und Social-Engineering-Kampagnen bekannt ist, die hauptsächlich Organisationen in den Vereinigten Staaten ins Visier nehmen. ### Angriffsverlauf Die von **Rapid7** untersuchte Intrusion begann mit Social Engineering über **Microsoft Teams**. Angreifer initiierten Chats mit Mitarbeitern, etablierten Bildschirmfreigabesitzungen, stahlen Anmeldedaten, manipulierten Multi-Faktor-Authentifizierungs- (MFA) Einstellungen und setzten in einigen Fällen **AnyDesk** für den Fernzugriff ein. Der Diebstahl von Anmeldedaten erfolgte entweder über Phishing-Seiten, die als **Microsoft** Quick Assist getarnt waren, oder indem die Opfer dazu gebracht wurden, ihre Passwörter in lokale Textdateien einzugeben. Nach der Kompromittierung von Konten authentifizierten sich die Angreifer bei internen Systemen, einschließlich eines Domänencontrollers, und etablierten Persistenz mittels RDP, DWAgent und **AnyDesk**. Anschließend setzten sie einen Malware-Loader (ms_upd.exe) ein, um einen benutzerdefinierten Backdoor (Game.exe) abzulegen, der als **Microsoft WebView2**-Anwendung getarnt war. Diese Malware verfügte über Anti-Analyse- und Anti-VM-Prüfungen und unterstützte 12 Befehle, darunter **PowerShell**- und CMD-Befehlsausführung, Datei-Upload und -Löschung sowie persistente Shell-Zugriffe.  **Rapid7** stellt fest, dass **MuddyWater** in der Vergangenheit Ransomware zur Verschleierung von Cyber-Spionageoperationen eingesetzt hat. Ende 2025 setzte der Bedrohungsakteur **Qilin**-Ransomware in einem Angriff gegen eine israelische Organisation ein. Die Forscher vermuten, dass die Bedrohungsgruppe nach der Zuordnung des Angriffs von Ende 2025 zu MOIS-Operatoren zu einer anderen Ransomware-"Marke" gewechselt haben könnte. ## [99 % dessen, was Mythos gefunden hat, ist immer noch ungepatcht.](https://hubs.li/Q04crVgD0) AI hat vier Zero-Days zu einem einzigen Exploit verkettet, der sowohl Renderer- als auch OS-Sandboxes umgangen hat. Eine Welle neuer Exploits steht bevor. Auf dem Autonomous Validation Summit (12. & 14. Mai) erfahren Sie, wie autonome, kontextreiche Validierung das Ausnutzbare findet, die Wirksamkeit von Kontrollen beweist und den Behebungszyklus schließt. [Sichern Sie sich Ihren Platz](https://hubs.li/Q04crVgD0)