Hackers patrocinados por el estado de Irán están desplegando el ransomware **Chaos** como tapadera para presuntas operaciones de espionaje y robo de datos, según una nueva investigación. ### Tácticas Engañosas de MuddyWater Los respondedores de incidentes de la firma de ciberseguridad **Rapid7** publicaron un informe sobre una intrusión reciente que inicialmente parecía un ataque de ransomware **Chaos**, pero que luego se descubrió que era un ataque atribuido a **MuddyWater**, un grupo APT iraní vinculado al Ministerio de Inteligencia y Seguridad del país (**MOIS**). Alexandra Blia e Ivan Feigl de **Rapid7** afirmaron que el uso del ransomware **Chaos** “refleja un esfuerzo constante por ocultar la intención operativa y complicar la atribución”. “Si bien la evasión de la atribución es una característica común de los actores afiliados al estado, el aumento reportado en la actividad operativa de **MuddyWater** a principios de 2026, que involucra principalmente ciberespionaje y posible preposicionamiento para operaciones disruptivas en redes occidentales y de Oriente Medio, probablemente ha intensificado su dependencia de operaciones engañosas de falsa bandera”, dijeron los dos. ### Orígenes del Ransomware Chaos La operación de ransomware **Chaos** existe desde febrero de 2025 y los expertos en ciberseguridad creen que fue creada por exmiembros de los ahora extintos grupos de ransomware **BlackSuit** y **Royal**. ### Acceso Inicial y Exfiltración de Datos **Rapid7** proporcionó poca información sobre la víctima en el centro del incidente, solo escribió que los hackers utilizaron una campaña de ingeniería social aprovechando **Microsoft Teams** para obtener acceso inicial. Los hackers contactaron a los empleados a través de solicitudes de chat externas e iniciaron conversaciones uno a uno con los usuarios. Finalmente, establecieron una sesión de intercambio de pantalla con la víctima donde el hacker accedió a archivos relacionados con la configuración de VPN y pidió a las víctimas que ingresaran credenciales. Los actores de la amenaza también desplegaron una herramienta de administración remota para permitir un acceso más profundo al sistema de la víctima. Después de un tiempo no revelado, los hackers enviaron múltiples correos electrónicos a los empleados de la empresa amenazando con filtrar los datos robados si no se pagaba un rescate. El proceso de extorsión fue torpe, pero los hackers luego publicaron datos robados que la empresa confirmó como legítimos, según los investigadores. **Rapid7** señaló que la ausencia de cifrado de archivos fue otra inconsistencia en el incidente que los llevó a cuestionar al verdadero culpable detrás del ataque. ### Atribución al MOIS Iraní Los investigadores encontraron grandes cantidades de evidencia técnica que apuntan al **MOIS** de Irán. El malware desplegado y los certificados utilizados se remontaban al conjunto de herramientas típicamente utilizado por el grupo de hackers **MuddyWater** de Irán. La infraestructura utilizada en el ataque había sido previamente vinculada por proveedores de seguridad a otra campaña de **MuddyWater** identificada en marzo que apuntaba a organizaciones en Oriente Medio y el Norte de África. Blia y Feigl agregaron que el incidente “resalta la creciente convergencia entre la actividad de intrusión patrocinada por el estado y el oficio del ciberdelincuente”. El año pasado, los investigadores vincularon a **MuddyWater** con el ecosistema de ransomware **Qilin** después de que la cepa se utilizara para atacar a una organización israelí. El ataque finalmente se atribuyó directamente al **MOIS** de Irán, lo que posiblemente llevó a los hackers a adoptar la marca de ransomware **Chaos** para “reducir el riesgo de atribución y mantener un grado de negación plausible”, dijo **Rapid7**. ### Difuminando las Líneas: Actores Patrocinados por el Estado y Ransomware Múltiples grupos patrocinados por el estado de China, Rusia, Corea del Norte e Irán han sido vistos adoptando el marco de ransomware como servicio (RaaS) como cobertura para ataques de espionaje o como formas de causar interrupciones a los adversarios. Blia y Feigl dijeron que el ransomware permite a los actores estatales difuminar las motivaciones, complicando la atribución por parte de las agencias de aplicación de la ley occidentales y los defensores cibernéticos. Los investigadores advirtieron en febrero que hackers estatales norcoreanos están utilizando el ransomware **Medusa** en ataques. En varios otros casos, el ransomware se ha utilizado como tapadera para la actividad de espionaje china. Las agencias de aplicación de la ley también han visto casos de hackers del gobierno iraní utilizando su acceso oficial para lanzar posteriormente ataques con fines financieros como parte de un esfuerzo para obtener doble beneficio y trabajar como ciberdelincuentes, monetizando sus habilidades de hacking. El **FBI** dijo anteriormente que fue testigo de actores iraníes asociándose con afiliados de las operaciones de ransomware **NoEscape**, **Ransomhouse** y **AlphV**, llegando a obtener un porcentaje de los pagos de rescate. Al inicio de las hostilidades cinéticas entre Irán y Estados Unidos, hubo una ráfaga de actividad cibernética, incluidos presuntos ataques de ransomware e incidentes de borrado lanzados por actores iraníes. Una organización de atención médica de EE. UU. fue atacada a fines de febrero con el ransomware **Pay2Key** de Irán y una destacada empresa de dispositivos médicos sufrió daños durante semanas tras un ciberataque de hackers iraníes.