Hackers patrocinados pelo estado do Irã estão utilizando o ransomware **Chaos** como cobertura para alegadas operações de espionagem e roubo de dados, de acordo com uma nova pesquisa. ### Táticas Enganosas do MuddyWater Respondedores de incidentes da empresa de cibersegurança **Rapid7** publicaram um relatório sobre uma intrusão recente que inicialmente parecia um ataque de ransomware **Chaos**, mas que mais tarde foi descoberto ser um ataque atribuído ao **MuddyWater**, um grupo APT iraniano ligado ao Ministério de Inteligência e Segurança do país (**MOIS**). Alexandra Blia e Ivan Feigl, da **Rapid7**, afirmaram que o uso do ransomware **Chaos** "reflete um esforço consistente para obscurecer a intenção operacional e complicar a atribuição". "Embora a evasão de atribuição seja uma característica comum de atores afiliados ao estado, o aumento relatado na atividade operacional do **MuddyWater** a partir do início de 2026, envolvendo principalmente ciberespionagem e potencial pré-posicionamento para operações disruptivas em redes ocidentais e do Oriente Médio, provavelmente intensificou sua dependência de operações enganosas de falsa bandeira", disseram os dois. ### Origens do Ransomware Chaos A operação de ransomware **Chaos** existe desde fevereiro de 2025 e especialistas em cibersegurança acreditam que foi criada por ex-membros dos agora extintos grupos de ransomware **BlackSuit** e **Royal**. ### Acesso Inicial e Exfiltração de Dados A **Rapid7** forneceu pouca informação sobre a vítima no centro do incidente, apenas escrevendo que os hackers usaram uma campanha de engenharia social alavancando o **Microsoft Teams** para obter acesso inicial. Os hackers contataram funcionários por meio de solicitações de chat externas e iniciaram conversas individuais com os usuários. Eventualmente, eles estabeleceram uma sessão de compartilhamento de tela com a vítima, onde o hacker acessou arquivos relacionados à configuração de VPN e pediu as credenciais aos usuários. Os atores de ameaça também implantaram uma ferramenta de gerenciamento remoto para permitir um acesso mais profundo ao sistema da vítima. Após um período não divulgado, os hackers enviaram vários e-mails aos funcionários da empresa ameaçando vazar dados roubados se um resgate não fosse pago. O processo de extorsão foi desajeitado, mas os hackers posteriormente publicaram dados roubados que a empresa confirmou serem legítimos, de acordo com os pesquisadores. A **Rapid7** observou que a ausência de criptografia de arquivos foi outra inconsistência no incidente que os levou a questionar o verdadeiro culpado por trás do ataque. ### Atribuição ao MOIS Iraniano Os pesquisadores encontraram uma grande quantidade de evidências técnicas apontando para o **MOIS** do Irã. O malware implantado e os certificados usados remetiam ao kit de ferramentas tipicamente usado pelo grupo de hackers iraniano **MuddyWater**. A infraestrutura utilizada no ataque foi previamente ligada por fornecedores de segurança a outra campanha do **MuddyWater** identificada em março, visando organizações no Oriente Médio e Norte da África. Blia e Feigl acrescentaram que o incidente "destaca a crescente convergência entre atividade de intrusão patrocinada pelo estado e o ofício do cibercrime". Pesquisadores ligaram no ano passado o **MuddyWater** ao ecossistema de ransomware **Qilin** após a cepa ter sido usada para atacar uma organização israelense. O ataque foi eventualmente atribuído diretamente ao **MOIS** do Irã, possivelmente levando os hackers a adotar a marca de ransomware **Chaos** para "reduzir o risco de atribuição e manter um grau de negação plausível", disse a **Rapid7**. ### Linhas Borradas: Atores Patrocinados pelo Estado e Ransomware Múltiplos grupos patrocinados pelo estado da China, Rússia, Coreia do Norte e Irã têm sido vistos adotando o modelo de ransomware-as-a-service como cobertura para ataques de espionagem ou como forma de causar interrupções a adversários. Blia e Feigl disseram que o ransomware permite que atores estatais confundam motivações, complicando a atribuição por agências de aplicação da lei ocidentais e defensores cibernéticos. Pesquisadores alertaram em fevereiro que hackers estatais norte-coreanos estão usando o ransomware **Medusa** em ataques. Em vários outros casos, o ransomware tem sido usado como cobertura para atividades de espionagem chinesas. Agências de aplicação da lei também viram instâncias de hackers do governo iraniano usando seu acesso oficial para, posteriormente, lançar ataques com motivação financeira como parte de um esforço para "dobrar a aposta" e atuar como cibercriminosos, monetizando suas habilidades de hacking. O **FBI** anteriormente disse ter testemunhado atores iranianos fazendo parceria com afiliados das operações de ransomware **NoEscape**, **Ransomhouse** e **AlphV** — eventualmente recebendo uma porcentagem dos pagamentos de resgate. No início das hostilidades cinéticas entre o Irã e os Estados Unidos, houve uma enxurrada de atividades cibernéticas, incluindo supostos ataques de ransomware e incidentes de wiper lançados por atores iranianos. Uma organização de saúde dos EUA foi alvo no final de fevereiro com o ransomware **Pay2Key** do Irã e uma proeminente empresa de dispositivos médicos foi danificada por semanas após um ciberataque por hackers iranianos.