**MuddyWater**, un actor de amenazas patrocinado por el estado iraní, ha sido visto disfrazando sus operaciones como un ataque de ransomware **Chaos**. El grupo se basó en la ingeniería social de **Microsoft Teams** para obtener acceso inicial y establecer persistencia dentro de los sistemas comprometidos. ### Ransomware de Señuelo Si bien el ataque involucró robo de credenciales, persistencia, acceso remoto, exfiltración de datos, correos electrónicos de extorsión e incluso una lista en el sitio de filtraciones de **Chaos**, los investigadores determinaron que la infraestructura y las técnicas empleadas eran consistentes con campañas anteriores de **MuddyWater**. Los investigadores de **Rapid7** creen que el componente de ransomware se desplegó estratégicamente para ofuscar el verdadero objetivo: el ciberespionaje, y para complicar los esfuerzos de atribución. "La estrategia resalta la convergencia entre la actividad de intrusión patrocinada por el estado y el oficio criminal, donde una gran "señal" radica en las técnicas que se desplegaron y las que no. Esta estrategia sugiere que el objetivo principal no era la ganancia financiera", [explica Rapid7](https://www.rapid7.com/blog/post/tr-muddying-tracks-state-sponsored-shadow-behind-chaos-ransomware/). A pesar de la fachada engañosa, **Rapid7** expresa una confianza moderada en atribuir el incidente a **MuddyWater**, un grupo de amenazas también conocido como Static Kitten, Mango Sandstorm y Seedworm. Esta atribución se basa en infraestructura superpuesta, un certificado de firma de código específico utilizado previamente por el grupo para firmar malware Stagecomp y Darkcomp, y tácticas, técnicas y procedimientos (TTPs) operativos compartidos. **MuddyWater** es conocido por llevar a cabo campañas de intrusión de red a largo plazo, a menudo alineadas con los objetivos del Ministerio de Inteligencia y Seguridad de Irán (MOIS). **Chaos** es una operación de ransomware-as-a-service (RaaS) que surgió en 2025, conocida por sus tácticas de "caza de grandes presas" (big-game hunting), métodos de doble extorsión y campañas de ingeniería social dirigidas principalmente a organizaciones en los Estados Unidos. ### Progresión del Ataque La intrusión examinada por **Rapid7** comenzó con ingeniería social a través de **Microsoft Teams**. Los atacantes iniciaron chats con empleados, establecieron sesiones de compartir pantalla, recolectaron credenciales, manipularon configuraciones de autenticación multifactor (MFA) y, en algunos casos, desplegaron **AnyDesk** para acceso remoto. El robo de credenciales ocurrió a través de páginas de phishing disfrazadas de Microsoft Quick Assist o engañando a las víctimas para que ingresaran sus contraseñas en archivos de texto locales. Después de comprometer las cuentas, los atacantes se autenticaron en sistemas internos, incluido un controlador de dominio, y establecieron persistencia utilizando RDP, DWAgent y **AnyDesk**. A continuación, desplegaron un cargador de malware (ms_upd.exe) para dejar un backdoor personalizado (Game.exe), disfrazado de aplicación **Microsoft WebView2**. Este malware presentaba verificaciones anti-análisis y anti-VM y admitía 12 comandos, incluida la ejecución de comandos de **PowerShell** y CMD, carga y eliminación de archivos, y acceso persistente a la shell.  **Rapid7** señala que **MuddyWater** tiene un historial de uso de ransomware para enmascarar operaciones de ciberespionaje. A finales de 2025, el actor de amenazas desplegó el ransomware **Qilin** en un ataque contra una organización israelí. Los investigadores sugieren que el grupo de amenazas podría haber cambiado a una "marca" de ransomware diferente tras la atribución de ese ataque de finales de 2025 a operativos del MOIS. ## [El 99% de lo que Mythos encontró sigue sin parchear.](https://hubs.li/Q04crVgD0) AI encadenó cuatro zero-days en un exploit que eludió tanto los sandboxes del renderizador como del sistema operativo. Se avecina una ola de nuevos exploits. En la Cumbre de Validación Autónoma (12 y 14 de mayo), vea cómo la validación autónoma y rica en contexto encuentra lo que es explotable, demuestra que los controles se mantienen y cierra el ciclo de remediación. [Reclama Tu Lugar](https://hubs.li/Q04crVgD0)