**MuddyWater** (également connu sous les noms de Mango Sandstorm, Seedworm et Static Kitten) a été lié à une récente attaque de ransomware conçue comme une opération de "faux drapeau". Le groupe est connu pour ses campagnes sophistiquées ciblant divers secteurs. ### Ingénierie Sociale via Microsoft Teams Observée par **Rapid7** début 2026, l'attaque exploite des techniques d'ingénierie sociale via **Microsoft Teams** pour initier l'infection. Bien qu'elle semble initialement être l'œuvre du groupe **Chaos** ransomware-as-a-service (RaaS), les preuves suggèrent une opération ciblée, soutenue par un État, se faisant passer pour une extorsion opportuniste. "La campagne a été caractérisée par une phase d'ingénierie sociale à forte interaction menée via **Microsoft Teams**, où les attaquants ont utilisé le partage d'écran interactif pour collecter des identifiants et manipuler l'authentification multifacteur (MFA)", a déclaré **Rapid7** dans son rapport. Au lieu du chiffrement traditionnel des fichiers, le groupe s'est concentré sur l'exfiltration de données et l'établissement d'une persistance à long terme à l'aide d'outils de gestion à distance tels que DWAgent. ### Brouiller les Lignes : Outils Prêts à l'Emploi **MuddyWater** utilise de plus en plus d'outils facilement disponibles dans le monde souterrain de la cybercriminalité pour compliquer les efforts d'attribution. Cette tendance a été notée par **Ctrl-Alt-Intel**, **Broadcom**, **Check Point** et **JUMPSEC**, soulignant l'utilisation par le groupe de CastleRAT et Tsundere. ### L'Histoire de MuddyWater avec le Ransomware Ce n'est pas la première fois que **MuddyWater** s'engage dans des attaques de ransomware. En septembre 2020, ils ont été liés à une campagne ciblant des organisations israéliennes utilisant un chargeur appelé PowGoop, qui déployait une variante du ransomware **Thanos**. En 2023, **Microsoft** a révélé que le groupe avait collaboré avec DEV-1084 (connu pour utiliser la persona DarkBit) pour mener des attaques destructrices sous couvert de déploiement de ransomware. Aussi récemment qu'en octobre 2025, on pense que les attaquants ont utilisé le ransomware **Qilin** pour cibler un hôpital gouvernemental israélien. ### La Connexion Chaos RaaS "Dans ce cas, l'image émergente était que les attaquants étaient probablement des opérateurs affiliés à l'Iran travaillant au sein de l'écosystème de la cybercriminalité, utilisant une marque de ransomware criminelle et des méthodes associées au marché plus large de l'extorsion, tout en servant un objectif stratégique iranien", a noté **Check Point**. **Chaos**, un groupe RaaS apparu début 2025, est connu pour son modèle de double extorsion et fait la publicité de son programme d'affiliation sur les forums de cybercriminalité. Les attaques de **Chaos** impliquent des inondations d'e-mails et du vishing utilisant **Teams**, se faisant souvent passer pour le support informatique pour tromper les victimes et les inciter à installer des outils d'accès à distance tels que **Microsoft Quick Assist**. **Rapid7** a également noté que **Chaos** a démontré la triple extorsion en menaçant d'attaques par déni de service distribué (DDoS) et la quadruple extorsion en menaçant de contacter les clients ou les concurrents.  Fin mars 2026, **Chaos** a revendiqué 36 victimes sur son site de fuite de données, principalement aux États-Unis, ciblant des secteurs tels que la construction, la fabrication et les services aux entreprises. ### Méthodologie d'Attaque L'intrusion analysée par **Rapid7** a montré que l'acteur de la menace initiait des demandes de chat externes via **Teams** pour engager les employés et obtenir un accès initial par le biais du partage d'écran. Ils ont ensuite utilisé des comptes compromis pour la reconnaissance, établi une persistance avec des outils comme DWAgent et AnyDesk, se sont déplacés latéralement et ont exfiltré des données avant de contacter la victime pour des négociations de rançon. "Pendant la connexion, l'TA [acteur de la menace] a exécuté des commandes de découverte de base, accédé à des fichiers liés à la configuration VPN de la victime et a demandé aux utilisateurs de saisir leurs identifiants dans des fichiers texte créés localement", a expliqué **Rapid7**. "Dans au moins un cas, l'TA a également déployé un outil de gestion à distance (AnyDesk) pour faciliter davantage l'accès." L'acteur de la menace a également utilisé RDP pour télécharger un exécutable ("ms_upd.exe") à partir d'un serveur externe à l'aide de l'utilitaire curl, initiant une chaîne d'infection multi-étapes. ### Analyse des Malwares Les principaux composants des malwares incluent : * `ms_upd.exe` (alias Stagecomp) : Collecte des informations système et se connecte à un serveur de commande et de contrôle (C2) pour déposer les charges utiles de l'étape suivante. * `game.exe` (alias Darkcomp) : Un cheval de Troie d'accès à distance (RAT) personnalisé se faisant passer pour une application légitime **Microsoft WebView2**. C'est une version trojanisée du projet officiel **Microsoft** WebView2APISample. * `WebView2Loader.dll` : Une DLL légitime requise par **Microsoft Edge WebView2**. * `visualwincomp.txt` : Une configuration chiffrée utilisée par le RAT pour obtenir les informations du C2. Le RAT se connecte au serveur C2 et interroge de nouvelles commandes toutes les 60 secondes, lui permettant d'exécuter des commandes, des scripts PowerShell, d'effectuer des opérations sur les fichiers et de lancer un shell cmd.exe ou PowerShell interactif. ### Attribution à MuddyWater Les liens de la campagne avec **MuddyWater** sont étayés par l'utilisation d'un certificat de signature de code attribué à "Donald Gay" pour signer "ms_upd.exe". Ce certificat a été précédemment utilisé par le cluster de menaces pour signer ses malwares, y compris un chargeur appelé CastleLoader nommé Fakeset.