**MuddyWater** (también conocido como Mango Sandstorm, Seedworm y Static Kitten) ha sido vinculado a un reciente ataque de ransomware diseñado como una operación de "falsa bandera". El grupo es conocido por sus sofisticadas campañas dirigidas a diversos sectores. ### Ingeniería Social a través de Microsoft Teams Observado por **Rapid7** a principios de 2026, el ataque aprovecha técnicas de ingeniería social a través de **Microsoft Teams** para iniciar la infección. Aunque inicialmente parecía obra del grupo de ransomware-as-a-service (RaaS) **Chaos**, la evidencia sugiere una operación dirigida y respaldada por el estado que se hace pasar por extorsión oportunista. "La campaña se caracterizó por una fase de ingeniería social de alto contacto realizada a través de **Microsoft Teams**, donde los atacantes utilizaron el uso compartido de pantalla interactivo para obtener credenciales y manipular la autenticación multifactor (MFA)", declaró **Rapid7** en su informe. En lugar del cifrado de archivos tradicional, el grupo se centró en la exfiltración de datos y el establecimiento de persistencia a largo plazo utilizando herramientas de administración remota como DWAgent. ### Difuminando las Líneas: Herramientas Comerciales **MuddyWater** emplea cada vez más herramientas fácilmente disponibles del submundo del cibercrimen para complicar los esfuerzos de atribución. Esta tendencia ha sido notada por **Ctrl-Alt-Intel**, **Broadcom**, **Check Point** y **JUMPSEC**, destacando el uso del grupo de CastleRAT y Tsundere. ### Historial de MuddyWater con Ransomware Esta no es la primera vez que **MuddyWater** participa en ataques de ransomware. En septiembre de 2020, fueron vinculados a una campaña dirigida a organizaciones israelíes utilizando un cargador llamado PowGoop, que desplegó una variante del ransomware **Thanos**. En 2023, **Microsoft** reveló que el grupo colaboró con DEV-1084 (conocido por usar la personalidad de DarkBit) para llevar a cabo ataques destructivos bajo el pretexto de despliegue de ransomware. Tan recientemente como en octubre de 2025, se cree que los atacantes utilizaron el ransomware **Qilin** para atacar un hospital del gobierno israelí. ### La Conexión con el RaaS Chaos "En este caso, la imagen emergente fue que los atacantes eran probablemente operadores afiliados a Irán que trabajaban a través del ecosistema del cibercrimen, utilizando una marca de ransomware criminal y métodos asociados con el mercado de extorsión más amplio, mientras servían a un objetivo estratégico iraní", señaló **Check Point**. **Chaos**, un grupo RaaS que surgió a principios de 2025, es conocido por su modelo de doble extorsión y anuncia su programa de afiliados en foros de cibercrimen. Los ataques de **Chaos** implican inundación de correo y vishing utilizando **Teams**, a menudo haciéndose pasar por soporte de TI para engañar a las víctimas y que instalen herramientas de acceso remoto como **Microsoft Quick Assist**. **Rapid7** también señaló que **Chaos** ha demostrado triple extorsión al amenazar con ataques de denegación de servicio distribuido (DDoS) y cuádruple extorsión al amenazar con contactar a clientes o competidores.  A finales de marzo de 2026, **Chaos** ha reclamado 36 víctimas en su sitio de filtración de datos, principalmente en EE. UU., dirigidas a sectores como la construcción, la manufactura y los servicios empresariales. ### Metodología de Ataque La intrusión analizada por **Rapid7** mostró al actor de amenazas iniciando solicitudes de chat externas a través de **Teams** para interactuar con los empleados y obtener acceso inicial a través del uso compartido de pantalla. Luego utilizaron cuentas comprometidas para reconocimiento, establecieron persistencia con herramientas como DWAgent y AnyDesk, se movieron lateralmente y exfiltraron datos antes de contactar a la víctima para negociaciones de rescate. "Mientras estaban conectados, el TA [actor de amenazas] ejecutó comandos básicos de descubrimiento, accedió a archivos relacionados con la configuración de VPN de la víctima e instruyó a los usuarios a ingresar sus credenciales en archivos de texto creados localmente", explicó **Rapid7**. "En al menos una instancia, el TA también desplegó una herramienta de administración remota (AnyDesk) para facilitar aún más el acceso." El actor de amenazas también utilizó RDP para descargar un ejecutable ("ms_upd.exe") de un servidor externo utilizando la utilidad curl, iniciando una cadena de infección de múltiples etapas. ### Análisis de Malware Los componentes clave del malware incluyen: * `ms_upd.exe` (alias Stagecomp): Recopila información del sistema y se conecta a un servidor de comando y control (C2) para dejar caer cargas útiles de siguiente etapa. * `game.exe` (alias Darkcomp): Un troyano de acceso remoto (RAT) personalizado que se hace pasar por una aplicación legítima de **Microsoft WebView2**. Es una versión troyanizada del proyecto oficial **Microsoft** WebView2APISample. * `WebView2Loader.dll`: Una DLL legítima requerida por **Microsoft Edge WebView2**. * `visualwincomp.txt`: Una configuración cifrada utilizada por el RAT para obtener la información de C2. El RAT se conecta al servidor C2 y consulta nuevos comandos cada 60 segundos, lo que le permite ejecutar comandos, scripts de PowerShell, realizar operaciones de archivos y generar un shell cmd.exe o PowerShell interactivo. ### Atribución a MuddyWater Los vínculos de la campaña con **MuddyWater** están respaldados por el uso de un certificado de firma de código atribuido a "Donald Gay" para firmar "ms_upd.exe". Este certificado ha sido utilizado previamente por el clúster de amenazas para firmar su malware, incluido un descargador de CastleLoader llamado Fakeset.