**MuddyWater**, un acteur de menace parrainé par l'État iranien, a été observé déguisant ses opérations en attaque de ransomware **Chaos**. Le groupe s'est appuyé sur l'ingénierie sociale de **Microsoft Teams** pour obtenir un accès initial et établir la persistance au sein des systèmes compromis. ### Ransomware de diversion Bien que l'attaque ait impliqué le vol d'identifiants, la persistance, l'accès à distance, l'exfiltration de données, des e-mails d'extorsion, et même une inscription sur le site de fuite de **Chaos**, les enquêteurs ont déterminé que l'infrastructure et les techniques employées étaient cohérentes avec les campagnes précédentes de **MuddyWater**. Les chercheurs de **Rapid7** estiment que le composant ransomware a été déployé stratégiquement pour masquer l'objectif réel : le cyber-espionnage, et pour compliquer les efforts d'attribution. « La stratégie met en évidence la convergence entre l'activité d'intrusion parrainée par l'État et le savoir-faire criminel, où un grand « indice » réside dans les techniques qui ont été déployées - et celles qui ne l'ont pas été. Cette stratégie suggère que l'objectif principal n'était pas le gain financier », [explique Rapid7](https://www.rapid7.com/blog/post/tr-muddying-tracks-state-sponsored-shadow-behind-chaos-ransomware/). Malgré la façade trompeuse, **Rapid7** exprime une confiance modérée dans l'attribution de l'incident à **MuddyWater**, un groupe de menace également connu sous le nom de Static Kitten, Mango Sandstorm et Seedworm. Cette attribution est basée sur des infrastructures qui se chevauchent, un certificat de signature de code spécifique précédemment utilisé par le groupe pour signer les malwares Stagecomp et Darkcomp, et des tactiques, techniques et procédures opérationnelles (TTPs) partagées. **MuddyWater** est connu pour mener des campagnes d'intrusion réseau à long terme, souvent alignées sur les objectifs du ministère iranien du renseignement et de la sécurité (MOIS). **Chaos** est une opération de ransomware-as-a-service (RaaS) qui a émergé en 2025, connue pour ses tactiques de « big-game hunting », ses méthodes de double extorsion et ses campagnes d'ingénierie sociale ciblant principalement les organisations aux États-Unis. ### Progression de l'attaque L'intrusion examinée par **Rapid7** a commencé par l'ingénierie sociale via **Microsoft Teams**. Les attaquants ont initié des conversations avec les employés, établi des sessions de partage d'écran, collecté des identifiants, manipulé les paramètres d'authentification multi-facteurs (MFA) et, dans certains cas, déployé **AnyDesk** pour l'accès à distance. Le vol d'identifiants s'est produit soit par le biais de pages de phishing déguisées en Microsoft Quick Assist, soit en trompant les victimes pour qu'elles saisissent leurs mots de passe dans des fichiers texte locaux. Après avoir compromis les comptes, les attaquants se sont authentifiés auprès des systèmes internes, y compris un contrôleur de domaine, et ont établi la persistance en utilisant RDP, DWAgent et **AnyDesk**. Ensuite, ils ont déployé un chargeur de malware (ms_upd.exe) pour déposer une backdoor personnalisée (Game.exe), déguisée en application **Microsoft WebView2**. Ce malware présentait des vérifications anti-analyse et anti-VM et prenait en charge 12 commandes, y compris l'exécution de commandes **PowerShell** et CMD, le téléversement et la suppression de fichiers, et un accès shell persistant.  **Rapid7** note que **MuddyWater** a un historique d'utilisation de ransomware pour masquer des opérations de cyber-espionnage. Fin 2025, l'acteur de menace a déployé le ransomware **Qilin** dans une attaque contre une organisation israélienne. Les chercheurs suggèrent que le groupe de menace pourrait avoir changé de « marque » de ransomware suite à l'attribution de cette attaque de fin 2025 à des opérateurs du MOIS. ## [99% de ce que Mythos a trouvé n'est toujours pas corrigé.](https://hubs.li/Q04crVgD0) AI a enchaîné quatre zero-days en un seul exploit qui a contourné les sandboxes du renderer et du système d'exploitation. Une vague de nouveaux exploits arrive. Au Sommet de Validation Autonome (12 et 14 mai), découvrez comment la validation autonome et contextuelle trouve ce qui est exploitable, prouve que les contrôles tiennent bon et clôture la boucle de remédiation. [Réservez votre place](https://hubs.li/Q04crVgD0)