**MuddyWater** (também conhecido como Mango Sandstorm, Seedworm e Static Kitten) foi associado a um recente ataque de ransomware projetado como uma operação de "bandeira falsa". O grupo é conhecido por suas campanhas sofisticadas que visam diversos setores. ### Engenharia Social via Microsoft Teams Observado pela **Rapid7** no início de 2026, o ataque utiliza técnicas de engenharia social através do **Microsoft Teams** para iniciar a infecção. Embora inicialmente parecesse ser obra do grupo de ransomware-como-serviço (RaaS) **Chaos**, evidências sugerem uma operação direcionada e apoiada pelo estado, disfarçada de extorsão oportunista. "A campanha foi caracterizada por uma fase de engenharia social de alto contato conduzida via **Microsoft Teams**, onde os atacantes utilizaram compartilhamento de tela interativo para coletar credenciais e manipular a autenticação multifator (MFA)", declarou a **Rapid7** em seu relatório. Em vez de criptografia de arquivos tradicional, o grupo focou na exfiltração de dados e no estabelecimento de persistência de longo prazo usando ferramentas de gerenciamento remoto como o DWAgent. ### Borrando as Linhas: Ferramentas Prontas para Uso O **MuddyWater** está empregando cada vez mais ferramentas prontamente disponíveis no submundo do cibercrime para complicar os esforços de atribuição. Essa tendência foi notada pela **Ctrl-Alt-Intel**, **Broadcom**, **Check Point** e **JUMPSEC**, destacando o uso do grupo de CastleRAT e Tsundere. ### Histórico do MuddyWater com Ransomware Esta não é a primeira vez que o **MuddyWater** se envolve em ataques de ransomware. Em setembro de 2020, eles foram associados a uma campanha visando organizações israelenses usando um loader chamado PowGoop, que implantou uma variante do ransomware **Thanos**. Em 2023, a **Microsoft** revelou que o grupo colaborou com o DEV-1084 (conhecido por usar a persona DarkBit) para realizar ataques destrutivos sob o disfarce de implantação de ransomware. Tão recentemente quanto outubro de 2025, acredita-se que os atacantes usaram o ransomware **Qilin** para atingir um hospital do governo israelense. ### A Conexão Chaos RaaS "Neste caso, o cenário emergente era que os atacantes eram provavelmente operadores afiliados ao Irã trabalhando através do ecossistema do cibercrime, usando uma marca de ransomware criminosa e métodos associados ao mercado de extorsão mais amplo, enquanto serviam a um objetivo estratégico iraniano", observou a **Check Point**. **Chaos**, um grupo RaaS que surgiu no início de 2025, é conhecido por seu modelo de dupla extorsão e anuncia seu programa de afiliados em fóruns de cibercrime. Ataques do **Chaos** envolvem inundação de e-mails e vishing usando **Teams**, muitas vezes se passando por suporte de TI para enganar vítimas a instalar ferramentas de acesso remoto como o **Microsoft Quick Assist**. A **Rapid7** também observou que o **Chaos** demonstrou tripla extorsão, ameaçando ataques de negação de serviço distribuído (DDoS), e quádrupla extorsão, ameaçando contatar clientes ou concorrentes.  No final de março de 2026, o **Chaos** reivindicou 36 vítimas em seu site de vazamento de dados, principalmente nos EUA, visando setores como construção, manufatura e serviços empresariais. ### Metodologia de Ataque A intrusão analisada pela **Rapid7** mostrou o ator de ameaça iniciando solicitações de chat externas via **Teams** para engajar funcionários e obter acesso inicial através do compartilhamento de tela. Eles então usaram contas comprometidas para reconhecimento, estabeleceram persistência com ferramentas como DWAgent e AnyDesk, moveram-se lateralmente e exfiltraram dados antes de contatar a vítima para negociações de resgate. "Enquanto conectado, o TA [ator de ameaça] executou comandos básicos de descoberta, acessou arquivos relacionados à configuração de VPN da vítima e instruiu os usuários a inserir suas credenciais em arquivos de texto criados localmente", explicou a **Rapid7**. "Em pelo menos uma instância, o TA também implantou uma ferramenta de gerenciamento remoto (AnyDesk) para facilitar ainda mais o acesso." O ator de ameaça também usou RDP para baixar um executável ("ms_upd.exe") de um servidor externo usando o utilitário curl, iniciando uma cadeia de infecção multi-estágio. ### Análise de Malware Componentes chave de malware incluem: * `ms_upd.exe` (também conhecido como Stagecomp): Coleta informações do sistema e se conecta a um servidor de comando e controle (C2) para baixar payloads de próximo estágio. * `game.exe` (também conhecido como Darkcomp): Um trojan de acesso remoto (RAT) personalizado que se disfarça como um aplicativo legítimo do **Microsoft WebView2**. É uma versão trojanizada do projeto oficial **Microsoft** WebView2APISample. * `WebView2Loader.dll`: Uma DLL legítima necessária pelo **Microsoft Edge WebView2**. * `visualwincomp.txt`: Uma configuração criptografada usada pelo RAT para obter informações de C2. O RAT se conecta ao servidor C2 e consulta novos comandos a cada 60 segundos, permitindo que ele execute comandos, scripts PowerShell, realize operações de arquivo e inicie um shell cmd.exe interativo ou PowerShell. ### Atribuição ao MuddyWater Os elos da campanha com o **MuddyWater** são apoiados pelo uso de um certificado de assinatura de código atribuído a "Donald Gay" para assinar "ms_upd.exe". Este certificado foi usado anteriormente pelo cluster de ameaças para assinar seu malware, incluindo um downloader CastleLoader chamado Fakeset.