Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Ataque de ransomware de falsa bandera de MuddyWater

Ataque de ransomware de falsa bandera de MuddyWater

Por Mezo en Software malicioso, Amenaza persistente avanzada (APT)
Traducir a:

El grupo de ciberataques patrocinado por el Estado iraní, MuddyWater, también conocido bajo alias como Mango Sandstorm, Seedworm y Static Kitten, ha sido vinculado a una sofisticada campaña de ransomware que los investigadores describen como una operación de falsa bandera. Si bien la intrusión inicialmente se asemejaba a una operación convencional de ransomware como servicio (RaaS) que utilizaba la marca Chaos, un análisis más profundo reveló características consistentes con un ciberataque dirigido y patrocinado por el Estado, disfrazado de extorsión con fines económicos.

La operación, detectada a principios de 2026, se basó en gran medida en la ingeniería social a través de Microsoft Teams. Los atacantes realizaron sesiones de interacción muy dinámicas con las víctimas, aprovechando la función de compartir pantalla para obtener credenciales y manipular los procesos de autenticación multifactor. Tras obtener acceso, los ciberdelincuentes abandonaron las tácticas tradicionales de ransomware, como el cifrado de archivos a gran escala, y se centraron en el robo de datos, la persistencia sigilosa y el acceso a la red a largo plazo mediante utilidades de administración remota.

Técnicas de ciberdelincuencia utilizadas para ocultar operaciones estatales

Los investigadores creen que la campaña refleja un esfuerzo deliberado de MuddyWater para ocultar la autoría mediante la adopción de herramientas y técnicas comúnmente asociadas con los ecosistemas ciberdelictivos. El grupo ha integrado cada vez más malware clandestino y marcos de acceso remoto disponibles comercialmente en sus operaciones, incluyendo herramientas como CastleRAT y Tsundere.

Esta táctica coincide con campañas anteriores de MuddyWater que combinaban espionaje y actividades destructivas con operaciones de ransomware. En 2020, el grupo atacó a importantes organizaciones israelíes utilizando el cargador PowGoop para desplegar una variante destructiva del ransomware Thanos. En 2023, Microsoft vinculó al grupo con DEV-1084, un actor asociado con la identidad de DarkBit, durante ataques disfrazados de incidentes de ransomware. A finales de 2025, también se sospechó que operadores vinculados a Irán habían utilizado el ransomware Qilin contra un hospital del gobierno israelí.

Investigadores de seguridad concluyeron que la última campaña probablemente involucró a operadores vinculados a Irán que operaban a través de infraestructuras cibercriminales establecidas, persiguiendo objetivos geopolíticos más amplios. El uso de Qilin y la participación en ecosistemas de ransomware probablemente proporcionaron cobertura operativa, negación plausible y acceso a capacidades de ataque avanzadas, al tiempo que ayudaron a los atacantes a eludir la intensificada vigilancia defensiva israelí.

Caos RaaS: Un ecosistema de extorsión en auge

Chaos surgió a principios de 2025 como una operación de ransomware como servicio (Ransomware-as-a-Service) conocida por sus agresivas tácticas de doble extorsión. El grupo promocionó su programa de afiliados en foros clandestinos de ciberdelincuencia como RAMP y RehubCom, y expandió rápidamente su alcance operativo.

Las campañas de caos suelen combinar el envío masivo de correos electrónicos, el phishing telefónico y los ataques de suplantación de identidad en Microsoft Teams, en los que los ciberdelincuentes se hacen pasar por personal de soporte técnico. Las víctimas son manipuladas para que instalen aplicaciones de acceso remoto como Microsoft Quick Assist, lo que permite a los atacantes infiltrarse en los entornos corporativos antes de escalar privilegios, moverse lateralmente e implementar el ransomware.

El grupo también ha demostrado modelos de extorsión cada vez más agresivos:

  • Doble extorsión mediante robo de datos y demandas de rescate.
  • Triple extorsión que implica amenazas de ataques de denegación de servicio distribuido (DDoS).
  • Tácticas de extorsión cuádruple que incluyen amenazas de contactar a clientes, socios o competidores para intensificar la presión sobre las víctimas.

Para marzo de 2026, Chaos había cobrado 36 víctimas en su plataforma de filtraciones, la mayoría de ellas organizaciones ubicadas en Estados Unidos. Los sectores de la construcción, la manufactura y los servicios empresariales figuraban entre los más afectados.

Anatomía de la intrusión

Durante la intrusión investigada, los atacantes iniciaron conversaciones externas a través de Microsoft Teams con los empleados para ganarse su confianza y fomentar las sesiones de pantalla compartida. Posteriormente, utilizaron las cuentas de usuario comprometidas para realizar labores de reconocimiento, mantener la intrusión, moverse lateralmente y extraer datos.

Mientras estaban conectados a los sistemas de las víctimas, los atacantes ejecutaron comandos de reconocimiento, accedieron a archivos relacionados con la VPN e instruyeron a los usuarios para que ingresaran manualmente sus credenciales en documentos de texto creados localmente. En varios casos, se instaló AnyDesk para reforzar las capacidades de acceso remoto.

Los ciberdelincuentes también utilizaron el Protocolo de Escritorio Remoto (RDP) para descargar un archivo ejecutable llamado “ms_upd.exe” desde la dirección del servidor externo 172.86.126.208 mediante la utilidad curl. Una vez ejecutado, el malware inició una cadena de infección en varias etapas diseñada para desplegar componentes maliciosos adicionales y establecer comunicaciones persistentes de comando y control.

Arsenal de malware detrás de la campaña

La cadena de infección incorporaba varios componentes de malware distintos que trabajaban juntos para mantener la persistencia y ejecutar comandos remotos:

  • 'ms_upd.exe' (Stagecomp) recopiló información del sistema y contactó con un servidor de comando y control para descargar cargas útiles secundarias, incluyendo 'game.exe', 'WebView2Loader.dll' y 'visualwincomp.txt'.
  • 'game.exe' (Darkcomp) funcionaba como un troyano de acceso remoto personalizado que se hacía pasar por una aplicación legítima de Microsoft WebView2 basada en el proyecto oficial WebView2APISample.
  • El archivo 'WebView2Loader.dll' era una dependencia legítima necesaria para la funcionalidad de Microsoft Edge WebView2.
  • El archivo 'visualwincomp.txt' contenía datos de configuración cifrados que el RAT utilizaba para identificar la infraestructura de comando y control.

Una vez activo, el troyano de acceso remoto se comunicaba continuamente con su servidor de comandos cada 60 segundos, lo que permitía a los operadores ejecutar scripts de PowerShell, ejecutar comandos del sistema, manipular archivos e iniciar sesiones interactivas de línea de comandos.

Pruebas que vinculan la operación con MuddyWater

La atribución a MuddyWater se reforzó con el descubrimiento de un certificado de firma de código asociado a "Donald Gay", que se utilizó para firmar la muestra de malware "ms_upd.exe". El mismo certificado ya se había vinculado anteriormente al malware MuddyWater, incluida una variante del descargador CastleLoader conocida como Fakeset.

Los investigadores observaron que la operación demostró una convergencia significativa entre el espionaje patrocinado por el Estado y los métodos operativos de los ciberdelincuentes. La integración de la marca del ransomware, las negociaciones de extorsión y los marcos de malware disponibles comercialmente complicaron los esfuerzos de atribución y desviaron la atención de las defensas hacia las actividades de respuesta inmediata al rescate, en lugar de los mecanismos de persistencia a largo plazo establecidos mediante herramientas de acceso remoto.

Por qué destacó el ataque

Uno de los aspectos más inusuales de la campaña fue la aparente ausencia de cifrado generalizado de archivos, a pesar del uso de artefactos del ransomware Chaos. Esta desviación del comportamiento habitual del ransomware sugiere firmemente que el componente de ransomware funcionó principalmente como camuflaje o distracción operativa, en lugar de ser el objetivo principal de la misión.

La campaña también pone de relieve una tendencia creciente entre los ciberdelincuentes iraníes a incorporar herramientas de ciberdelincuencia en operaciones dirigidas por el Estado. Al aprovechar las infraestructuras clandestinas y los ecosistemas de malware existentes, grupos como MuddyWater obtienen mayor flexibilidad operativa, reducen los costes de desarrollo interno y complican significativamente los esfuerzos de atribución tanto para los defensores como para los analistas de inteligencia.

Tendencias

Mas Visto

Cargando...