MuddyWater utiliza 'falsa bandera' de ransomware en ataques patrocinados por el estado iraní

El grupo de hacking patrocinado por el estado iraní, conocido como MuddyWater (también como Mango Sandstorm, Seedworm y Static Kitten), ha sido implicado en un ataque de ransomware de “falsa bandera”, según un informe de Rapid7. Este incidente, observado a principios de 2026, muestra una creciente sofisticación y un intento de difuminar la atribución mediante la adopción de tácticas de ciberdelincuencia.

Ataque de Falsa Bandera y Tácticas Sofisticadas

El ataque inicial parecía consistente con un grupo de ransomware-as-a-service (RaaS) que opera bajo la marca Chaos. Sin embargo, la evidencia sugiere que se trata de un ataque selectivo respaldado por el estado que se disfraza de extorsión oportunista.

Rapid7 destacó que la campaña se caracterizó por una fase de ingeniería social “de alto contacto” a través de Microsoft Teams. Los atacantes utilizaron sesiones interactivas de pantalla compartida para:

• Recopilar credenciales.
• Manipular la autenticación multifactor (MFA).

Una vez dentro, el grupo eludió los flujos de trabajo tradicionales de ransomware, renunciando al cifrado de archivos en favor de la exfiltración de datos y el establecimiento de persistencia a largo plazo mediante herramientas de gestión remota como DWAgent.

MuddyWater y la Obscuración de la Atribución

Los hallazgos indican un esfuerzo de MuddyWater por “enturbiar” la atribución, utilizando cada vez más herramientas disponibles en el mercado negro de la ciberdelincuencia. Este cambio ha sido documentado por varias firmas de seguridad, que han observado el uso de herramientas como CastleRAT y Tsundere.

No es la primera vez que MuddyWater realiza ataques de ransomware. En septiembre de 2020, se les atribuyó una campaña contra organizaciones israelíes utilizando el loader PowGoop para desplegar una variante destructiva de Thanos ransomware. En 2023, Microsoft reveló que el grupo se asoció con DEV-1084 (conocido por DarkBit) para ataques destructivos bajo el pretexto de ransomware. Más recientemente, en octubre de 2025, se cree que utilizaron el ransomware Qilin contra un hospital gubernamental israelí.

Check Point señaló en marzo que estos atacantes probablemente son “operadores afiliados a Irán que trabajan a través del ecosistema cibercriminal, utilizando una marca de ransomware criminal y métodos asociados con el mercado de extorsión, mientras sirven a un objetivo estratégico iraní”.

El Grupo Chaos RaaS

Chaos es un grupo RaaS que surgió a principios de 2025, conocido por su modelo de doble extorsión y la publicidad de su programa de afiliados en foros clandestinos como RAMP y RehubCom.

Los ataques de Chaos utilizan una combinación de:

• Mail flooding y vishing: A través de Teams, a menudo suplantando a personal de soporte de TI.
• Despliegue de herramientas de acceso remoto: Como Microsoft Quick Assist, para obtener un punto de apoyo inicial.

Rapid7 también observó que Chaos ha demostrado una triple extorsión (amenazas de ataques DDoS) e incluso una cuádruple extorsión (amenazas de contactar a clientes o competidores).

Detalles Técnicos de la Intrusión

En la intrusión analizada por Rapid7, MuddyWater/Chaos inició solicitudes de chat externas a través de Teams para interactuar con empleados y obtener acceso inicial mediante sesiones de pantalla compartida. Tras el compromiso, utilizaron cuentas de usuario comprometidas para:

• Realizar reconocimiento.
• Establecer persistencia con DWAgent y AnyDesk.
• Moverse lateralmente.
• Exfiltrar datos.

Las negociaciones de rescate se realizaron posteriormente por correo electrónico. Los atacantes ejecutaron comandos básicos de descubrimiento, accedieron a archivos de configuración de VPN e instruyeron a los usuarios a ingresar sus credenciales en archivos de texto locales. También desplegaron AnyDesk para facilitar el acceso.

Se observó el uso de RDP para descargar un ejecutable (ms_upd.exe) desde un servidor externo (172.86.126[.]208) utilizando la utilidad curl, que inició una cadena de infección multifase:

• ms_upd.exe (aka Stagecomp): Recopila información del sistema y se comunica con un servidor de comando y control (C2) para descargar cargas útiles de la siguiente etapa (game.exe, WebView2Loader.dll y visualwincomp.txt).
• game.exe (aka Darkcomp): Un troyano de acceso remoto (RAT) personalizado que se disfraza de una aplicación legítima de Microsoft WebView2, siendo una versión troyanizada del proyecto oficial Microsoft WebView2APISample.
• WebView2Loader.dll: Una DLL legítima descargada por ms_upd.exe, necesaria para incrustar contenido web en aplicaciones de Windows.
• visualwincomp.txt: Una configuración cifrada utilizada por el RAT para obtener información del C2.

El RAT se conecta al servidor C2 y sondea nuevos comandos cada 60 segundos, permitiendo la ejecución de comandos o scripts de PowerShell, operaciones de archivos y la creación de un shell interactivo cmd.exe o PowerShell.

Vínculos con MuddyWater

La atribución a MuddyWater se deriva del uso de un certificado de firma de código asociado a “Donald Gay” para firmar ms_upd.exe. Este certificado ha sido utilizado previamente por el grupo para firmar su malware, incluyendo un descargador CastleLoader llamado Fakeset.

Otros Ataques de Nexus Iraní

Este desarrollo coincide con otros informes sobre operaciones iraníes:

• Hunt.io: Reveló una operación de nexus iraní dirigida a instituciones gubernamentales omaníes, exfiltrando más de 26,000 registros de usuarios del Ministerio de Justicia, datos de casos judiciales y hives de registro SAM y SYSTEM. Se encontró un directorio abierto en 172.86.76[.]127.
• Handala Hack: Un grupo hacktivista pro-Irán que afirma haber publicado detalles de casi 400 militares de la Marina de EE. UU. en el Golfo Pérsico y haber atacado el Puerto de Fujairah en los Emiratos Árabes Unidos, exfiltrando unos 11,000 documentos sensibles.

Sergey Shykevich de Check Point Research advirtió sobre la escalada de las operaciones cibernéticas iraníes y la conexión explícita entre los dominios cibernético y cinético, sugiriendo que los datos de infraestructura portuaria robados podrían usarse para el objetivo físico de misiles.

Conclusiones

La creciente convergencia entre la actividad de intrusión patrocinada por el estado y las tácticas de la ciberdelincuencia, como el uso de marcos RaaS, permite a actores como MuddyWater difuminar las distinciones y complicar la atribución. Esto desvía los esfuerzos de defensa hacia el impacto inmediato, retrasando la identificación de mecanismos de persistencia subyacentes. La ausencia de cifrado de archivos, a pesar de los artefactos de ransomware, sugiere que el componente de ransomware sirve principalmente como mecanismo de facilitación u ofuscación, en lugar de ser el objetivo principal de la intrusión.

Comfidentia

Qué haríamos en estos casos?

Ciberseguridad Defensiva | Protección y Respuesta a Amenazas - Comfidentia

Servicios de ciberseguridad defensiva: forensia digital, desarrollo de software seguro, gestión de vulnerabilidades, threat intelligence y respuesta a incidentes. Protege tus redes y servidores con nuestras soluciones de seguridad defensiva.

Protege tu negocio de amenazas digitales con la Ciberseguridad Defensiva de Comfidentia. Nuestros servicios integrales te proporcionan protección robusta contra ciberataques, ayudándote a asegurar la seguridad de tus datos sensibles.

Análisis Forense

Descubre la verdad oculta en los datos con nuestro servicio deAnálisis Forense. Recopilamos, examinamos y analizamos a fondo cada rastro digital para revelar la causa raíz de cualquier incidente. Nuestro equipo de expertos sigue los pasos clave: Identificación, Adquisición, Análisis y Presentación de evidencia sólida. No pierdas más tiempo buscando respuestas, confía en nuestra experiencia para revelar la evidencia que necesitas.

Gestión de Vulnerabilidades

¡No arriesgues la seguridad de tu empresa! Con nuestras soluciones deGestión de Vulnerabilidades, no solo obtendrás un simple escaneo o evaluación de riesgos, sino una evaluación completa junto con tu equipo. Nuestro enfoque va más allá al proponer soluciones reales y duraderas, adaptadas a las capacidades y necesidades específicas de tu negocio y sistemas.

Protege tu Marca de Amenazas Cibernéticas

Protege tu negocio hoy conBrand Intelligence! Nuestro servicio especializado te proporciona información valiosa sobre posibles actores maliciosos que intentan suplantar tu marca o dominio. Al detectar estas amenazas, puedes tomar medidas rápidas y efectivas para salvaguardar la reputación de tu empresa. No permitas que los ciberdelincuentes dañen tu imagen, confía en Brand Intelligence para mantener tu negocio seguro en todo momento.

Desarrollo de Software Seguro

Con nuestras herramientas y habilidades especializadas, puedes crear aplicaciones y programas a prueba de vulnerabilidades de principio a fin. Nuestro enfoque se basa en un modelo sólido que incluye diseño seguro, proceso de desarrollo, gestión de vulnerabilidades e seguridad de la información. Esto asegura que tu software esté protegido en cada etapa del proceso. Fuente: Ver más en Comfidentia

Otras páginas relacionadas:

• Offensive Cybersecurity
• Proactive Cybersecurity
• Compliance Cybersecurity
• Engineering As A Service

Agenda una presentación con Comfidentia

Referencias

Fuente original: Ver artículo original

• Rapid7
• The Hacker News
• Ctrl-Alt-Intel
• Broadcom
• Check Point
• JUMPSEC
• Hunt.io
• Microsoft Teams
• Microsoft Quick Assist
• DWAgent
• AnyDesk
• IP: 172.86.126[.]208
• IP: 172.86.76[.]127
• Certificado de firma de código: Donald Gay