**MuddyWater**, um ator de ameaças patrocinado pelo estado iraniano, foi observado disfarçando suas operações como um ataque de ransomware **Chaos**. O grupo confiou em engenharia social via **Microsoft Teams** para obter acesso inicial e estabelecer persistência dentro de sistemas comprometidos. ### Ransomware de Distração Embora o ataque envolvesse roubo de credenciais, persistência, acesso remoto, exfiltração de dados, e-mails de extorsão e até mesmo uma listagem no site de vazamento do **Chaos**, os investigadores determinaram que a infraestrutura e as técnicas empregadas eram consistentes com campanhas anteriores do **MuddyWater**. Pesquisadores da **Rapid7** acreditam que o componente de ransomware foi implantado estrategicamente para ofuscar o verdadeiro objetivo: ciberespionagem, e para complicar os esforços de atribuição. "A estratégia destaca a convergência entre atividade de intrusão patrocinada pelo estado e táticas criminosas, onde um grande "indicador" reside nas técnicas que foram implantadas – e aquelas que não foram. Essa estratégia sugere que o objetivo principal não era ganho financeiro", [explica a Rapid7](https://www.rapid7.com/blog/post/tr-muddying-tracks-state-sponsored-shadow-behind-chaos-ransomware/). Apesar da fachada enganosa, a **Rapid7** expressa confiança moderada em atribuir o incidente ao **MuddyWater**, um grupo de ameaças também conhecido como Static Kitten, Mango Sandstorm e Seedworm. Essa atribuição é baseada em infraestrutura sobreposta, um certificado de assinatura de código específico usado anteriormente pelo grupo para assinar malware Stagecomp e Darkcomp, e táticas, técnicas e procedimentos (TTPs) operacionais compartilhados. O **MuddyWater** é conhecido por conduzir campanhas de intrusão de rede de longo prazo, frequentemente alinhadas com os objetivos do Ministério de Inteligência e Segurança do Irã (MOIS). O **Chaos** é uma operação de ransomware-as-a-service (RaaS) que surgiu em 2025, conhecida por suas táticas de caça a grandes alvos (big-game hunting), métodos de dupla extorsão e campanhas de engenharia social visando principalmente organizações nos Estados Unidos. ### Progressão do Ataque A intrusão examinada pela **Rapid7** começou com engenharia social via **Microsoft Teams**. Os atacantes iniciaram chats com funcionários, estabeleceram sessões de compartilhamento de tela, coletaram credenciais, manipularam configurações de autenticação multifator (MFA) e, em alguns casos, implantaram o **AnyDesk** para acesso remoto. O roubo de credenciais ocorreu por meio de páginas de phishing disfarçadas como Microsoft Quick Assist ou enganando as vítimas para que inserissem suas senhas em arquivos de texto locais. Após comprometer contas, os atacantes se autenticaram em sistemas internos, incluindo um controlador de domínio, e estabeleceram persistência usando RDP, DWAgent e **AnyDesk**. Em seguida, eles implantaram um carregador de malware (ms_upd.exe) para descarregar um backdoor personalizado (Game.exe), disfarçado como um aplicativo **Microsoft WebView2**. Este malware apresentava verificações anti-análise e anti-VM e suportava 12 comandos, incluindo execução de comandos **PowerShell** e CMD, upload e exclusão de arquivos, e acesso persistente ao shell.  A **Rapid7** observa que o **MuddyWater** tem um histórico de uso de ransomware para mascarar operações de ciberespionagem. No final de 2025, o ator de ameaças implantou o ransomware **Qilin** em um ataque contra uma organização israelense. Os pesquisadores sugerem que o grupo de ameaças pode ter mudado para uma "marca" de ransomware diferente após a atribuição desse ataque de final de 2025 a operários do MOIS. ## [99% do que a Mythos encontrou ainda não foi corrigido.](https://hubs.li/Q04crVgD0) A IA encadeou quatro vulnerabilidades 0-day em um único exploit que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novos exploits está chegando. Na Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles se mantêm e fecha o ciclo de remediação. [Garanta Sua Vaga](https://hubs.li/Q04crVgD0)