**MuddyWater**（Mango Sandstorm、Seedworm、Static Kittenとしても知られる）は、最近のランサムウェア攻撃にリンクされており、これは「偽旗」作戦として設計されています。この集団は、様々なセクターを標的とする高度なキャンペーンで知られています。 ### Microsoft Teamsを通じたソーシャルエンジニアリング **Rapid7**が2026年初頭に観測したところによると、この攻撃は**Microsoft Teams**を通じたソーシャルエンジニアリング技術を悪用して感染を開始します。当初は**Chaos**ランサムウェア・アズ・ア・サービス（RaaS）集団の犯行に見せかけられていましたが、証拠は、機会主義的な恐喝を装った、標的型の国家支援型オペレーションを示唆しています。 **Rapid7**はレポートで、「このキャンペーンは、**Microsoft Teams**を通じて行われた高度なソーシャルエンジニアリング段階によって特徴づけられ、攻撃者はインタラクティブな画面共有を利用して認証情報を収集し、多要素認証（MFA）を操作しました」と述べています。 従来のファイル暗号化の代わりに、この集団はデータ漏洩と、DWAgentのようなリモート管理ツールを使用した長期的な永続化の確立に焦点を当てました。 ### 線引きの曖昧化：市販ツールの活用 **MuddyWater**は、特定を困難にするために、サイバー犯罪の地下で容易に入手可能なツールをますます採用しています。この傾向は**Ctrl-Alt-Intel**、**Broadcom**、**Check Point**、**JUMPSEC**によって指摘されており、CastleRATとTsundereの使用が強調されています。 ### ランサムウェアにおけるMuddyWaterの過去 **MuddyWater**がランサムウェア攻撃に関与したのは今回が初めてではありません。2020年9月には、PowGoopというローダーを使用してイスラエルの組織を標的としたキャンペーンにリンクされており、これは**Thanos**ランサムウェアの亜種を配布しました。2023年には、**Microsoft**が、この集団がDEV-1084（DarkBitペルソナの使用で知られる）と協力し、ランサムウェア展開を装って破壊的な攻撃を実行したことを明らかにしました。2025年10月には、攻撃者が**Qilin**ランサムウェアを使用してイスラエルの政府系病院を標的としたと考えられています。 ### Chaos RaaSとの関連 **Check Point**は、「この場合、浮上してきた状況は、攻撃者がおそらくイラン関連のオペレーターであり、サイバー犯罪エコシステムを通じて活動し、広範な恐喝市場に関連する犯罪ランサムウェアブランドと手法を使用しながら、戦略的なイランの目標に奉仕していた可能性が高い」と指摘しています。 2025年初頭に登場したRaaS集団である**Chaos**は、ダブル恐喝モデルで知られ、サイバー犯罪フォーラムでアフィリエイトプログラムを宣伝しています。**Chaos**による攻撃は、メールフラッディングとvishingを**Teams**を使用して行い、ITサポートを装って被害者を騙し、**Microsoft Quick Assist**のようなリモートアクセスツールをインストールさせることがよくあります。 **Rapid7**はまた、**Chaos**が分散型サービス拒否（DDoS）攻撃の脅迫によるトリプル恐喝、および顧客や競合他社に連絡すると脅迫することによるクアドルプル恐喝を示していることを指摘しています。  2026年3月下旬現在、**Chaos**はデータ漏洩サイトで36件の被害者を主張しており、主に米国で、建設、製造、ビジネスサービスなどのセクターを標的にしています。 ### 攻撃手法 **Rapid7**が分析した侵入では、脅威アクターが**Teams**を通じて外部チャットリクエストを開始し、従業員と関与して画面共有を通じて初期アクセスを得ていました。その後、侵害されたアカウントを使用して偵察を行い、DWAgentやAnyDeskのようなツールで永続性を確立し、横展開し、データ漏洩を行った後、被害者に連絡して身代金交渉を行いました。 **Rapid7**は、「接続中、TA（脅威アクター）は基本的な発見コマンドを実行し、被害者のVPN構成に関連するファイルにアクセスし、ユーザーにローカルに作成されたテキストファイルに認証情報を入力するように指示しました」と説明しています。「少なくとも1つのインスタンスでは、TAはリモート管理ツール（AnyDesk）を展開してアクセスをさらに容易にしました。」 脅威アクターはRDPを使用して、curlユーティリティを使用して外部サーバーから実行可能ファイル（「ms_upd.exe」）をダウンロードし、多段階の感染チェーンを開始しました。 ### マルウェア分析 主要なマルウェアコンポーネントは以下の通りです。 * `ms_upd.exe`（別名Stagecomp）：システム情報を収集し、コマンド・アンド・コントロール（C2）サーバーに接続して次のステージのペイロードをドロップします。 * `game.exe`（別名Darkcomp）：正規の**Microsoft WebView2**アプリケーションを装ったカスタムリモートアクセス型トロイの木馬（RAT）です。これは公式の**Microsoft** WebView2APISampleプロジェクトのトロイ化されたバージョンです。 * `WebView2Loader.dll`：**Microsoft Edge WebView2**に必要な正規のDLLです。 * `visualwincomp.txt`：RATがC2情報を取得するために使用する暗号化された設定です。 RATはC2サーバーに接続し、60秒ごとに新しいコマンドをポーリングし、コマンド、PowerShellスクリプトの実行、ファイル操作の実行、およびインタラクティブなcmd.exeシェルまたはPowerShellの起動を可能にします。 ### MuddyWaterへの帰属 このキャンペーンが**MuddyWater**にリンクされていることは、「Donald Gay」という名前のコード署名証明書を使用して「ms_upd.exe」に署名していることによって裏付けられています。この証明書は、以前に脅威クラスターによってFakesetというCastleLoaderダウンローダーを含むマルウェアに署名するために使用されていました。