El grupo de ciberespionaje iraní MuddyWater, vinculado al Ministerio de Inteligencia y Seguridad de Irán (MOIS) y también conocido como Mango Sandstorm, Seedworm y Static Kitten, ha sido identificado como el autor de un ataque que se disfrazó de ransomware para ocultar sus verdaderos objetivos de espionaje. El informe, publicado por Rapid7 el 6 de mayo de 2026 tras investigar una intrusión ocurrida a principios de año, desvela una operación de “falsa bandera” en la que Microsoft Teams fue el vector de entrada inicial. No hubo cifrado de archivos, no hubo extorsión financiera real: el objetivo era acceso, credenciales y persistencia a largo plazo. El ransomware fue solo la cortina de humo.

¿Qué se sabe del ataque de MuddyWater con Microsoft Teams?

Los hechos confirmados por el informe de Rapid7, amplificado por The Hacker News, BleepingComputer, SecurityWeek, SC Media e Infosecurity Magazine, son los siguientes:

  • Vector inicial: los atacantes enviaron solicitudes de chat externas no solicitadas a empleados vía Microsoft Teams, haciéndose pasar por el perfil de “Soporte de TI”. Una vez establecido el contacto, iniciaron sesiones de screen-sharing interactivas.
  • Robo de credenciales mediante ingeniería social directa: durante las sesiones de pantalla compartida, instruyeron a las víctimas a ejecutar comandos de descubrimiento (ipconfig /all, whoami, net start), a escribir sus contraseñas en archivos de texto locales (credentials.txt, cred.txt) y, en algunos casos, a acceder a páginas de phishing que imitaban Microsoft Quick Assist.
  • Manipulación del MFA: los atacantes convencieron a los empleados para añadir dispositivos controlados por el atacante a sus configuraciones de autenticación multifactor, logrando persistencia incluso si la contraseña era cambiada.
  • Sin cifrado de archivos: pese a operar bajo la marca del ransomware Chaos, no se cifró ningún fichero. Este es el indicador crítico: en un ataque de ransomware real el cifrado es el acto central. Su ausencia revela que el objetivo era espionaje, no extorsión.
  • Post-explotación: con acceso establecido, los atacantes instalaron DWAgent, AnyDesk y RDP para mantener presencia remota. Desplegaron el dropper ms_upd.exe — firmado con el certificado “Donald Gay”, ya asociado a MuddyWater — que instaló el RAT personalizado Game.exe, una versión troyanizada de Microsoft WebView2 que permite ejecución de comandos, transferencia de archivos y shells interactivas, comunicándose con los C2 moonzonet[.]com y uploadfiler[.]com.
  • Extorsión como fachada: el grupo publicó a la víctima en el portal de filtraciones de Chaos y envió correos de extorsión. El objetivo real era distraer al equipo de respuesta hacia la recuperación del ransomware mientras MuddyWater mantenía acceso persistente.
  • Atribución con confianza moderada: Rapid7 basa la atribución en el certificado “Donald Gay” (ya vinculado al malware Stagecomp de MuddyWater), el dominio C2 moonzonet[.]com (usado en ataques previos contra organizaciones israelitas y occidentales en 2026), y el uso de pythonw.exe para inyección de código en procesos suspendidos, sello característico del grupo.

Por qué los APTs estatales han convertido Microsoft Teams en vector preferido

El caso de MuddyWater no es aislado. La convergencia entre herramientas de productividad corporativa y operaciones de ciberespionaje es una tendencia documentada que se ha acelerado en 2025 y 2026. Cuatro razones estructurales explican este giro:

  1. Alta confianza implícita de los usuarios. Los empleados están entrenados para desconfiar de emails de remitentes desconocidos, pero no de mensajes en Teams de cuentas que dicen ser de “IT Support”. La percepción de que Teams es una herramienta “interna y segura” reduce el umbral de alerta.
  2. Screen-sharing elimina barreras técnicas en la fase inicial. Una sesión de pantalla compartida da al atacante visibilidad directa sobre el entorno del usuario sin necesidad de desplegar malware en la primera fase. El acceso inicial no requiere exploits.
  3. Difícil de distinguir de soporte técnico legítimo. El perfil de “IT Support” que MuddyWater refina en Teams se mimetiza con los procesos internos de muchas organizaciones. Distinguir un atacante de un técnico real requiere verificación activa.
  4. Bypass natural del MFA mediante ingeniería social. Las soluciones de MFA no protegen contra un empleado que voluntariamente añade un dispositivo del atacante a su configuración. La ingeniería social convierte al propio usuario en el vector de bypass.

Cómo se produce este tipo de ataque: la cadena técnica paso a paso

El ataque documentado por Rapid7 sigue una cadena específica y replicable:

  1. Solicitud de chat Teams desde cuenta externa: los atacantes enviaron invitaciones de chat externas a empleados usando el nombre o perfil visual de “IT Support” para generar confianza.
  2. Screen-sharing y reconocimiento inicial: durante la sesión compartida, el atacante ejecutó comandos de descubrimiento (ipconfig /all, whoami, net start) y accedió a ficheros de configuración VPN de la víctima.
  3. Cosecha de credenciales: las víctimas fueron instruídas a escribir sus contraseñas en archivos .txt locales o a introducirlas en páginas de phishing de Quick Assist. Se manipularon ajustes de MFA para añadir dispositivos del atacante.
  4. Instalación de persistencia: con cuentas comprometidas, el atacante instaló DWAgent, AnyDesk y estableció sesiones RDP para mantener acceso remoto independiente de las credenciales originales.
  5. Despliegue del implante: un comando curl instaló ms_upd.exe, que contactó con moonzonet[.]com y descargó tres componentes: WebView2Loader.dll, el fichero visualwincomp.txt y el RAT Game.exe.
  6. Operación bajo cobertura ransomware: el grupo publicó a la víctima en el portal de Chaos y envió correos de extorsión, generando una respuesta de incidente centrada en “ransomware” que ocultó la actividad de espionaje subyacente.

Mientras el equipo de seguridad gestionaba la supuesta extorsión, MuddyWater mantenía acceso persistente y recopilaba inteligencia sin ser detectado.

Lecciones clave e IoCs para equipos SOC y responsables de seguridad

El informe de Rapid7 deja indicadores de compromiso concretos y acciones accionables para cualquier organización que use Microsoft 365 y Teams:

Indicadores de compromiso (IoCs) a vigilar ahora mismo:

  • Solicitudes de chat externas en Teams desde cuentas que afirman ser de “Soporte de TI”, seguidas de peticiones de screen-sharing.
  • Creación de archivos credentials.txt o cred.txt en directorios accesibles por el usuario.
  • Instalación de DWAgent, AnyDesk o Game.exe (WebView2 troyanizado) en sistemas corporativos.
  • Comunicaciones de red hacia moonzonet[.]com y uploadfiler[.]com (puerto 443).
  • Binarios firmados con el certificado “Donald Gay”.
  • Uso de pythonw.exe para inyección de código en procesos suspendidos.
  • Adición de nuevos dispositivos a configuraciones MFA no iniciada por el propio usuario.

Acciones recomendadas:

  • Configurar Teams para restringir o bloquear chats externos no verificados y requerir aprobación explícita antes de permitir sesiones de screen-sharing con externos.
  • Revisar las configuraciones MFA activas de todos los usuarios para detectar dispositivos añadidos recientemente que los propios usuarios no reconocen.
  • Buscar en los endpoints los archivos credentials.txt, cred.txt y los binarios Game.exe y ms_upd.exe.
  • Añadir moonzonet[.]com y uploadfiler[.]com a las listas de bloqueo del firewall y del proxy.
  • Comunicar a los empleados que el Soporte de TI nunca solicita contraseñas por Teams ni pide acceso a la pantalla sin proceso formal verificado.
  • Tratar cualquier extorsión sin cifrado de ficheros como señal de alerta de APT, no de ransomware ordinario.

La ciberseguridad como prioridad estratégica

El caso MuddyWater-Chaos confirma una nueva normalidad que los equipos de seguridad deben asumir: los grupos de ciberespionaje de Estado están adoptando la estética del cibercrimen financiero para ocultar sus operaciones. Un ataque que parece ransomware puede ser una operación de inteligencia. Una extorsión que parece casual puede ser una operación de prepositioning para ataques disruptivos futuros.

Para las organizaciones europeas y españolas, el mensaje es directo: la defensa no puede basarse en reconocer ataques por su apariencia. Requiere detección basada en comportamiento, monitorización de identidades y accesos en tiempo real, y procesos de respuesta a incidentes que contemplen el escenario de falsa bandera desde el primer momento.

Apolo Cybersecurity: detectar lo que se oculta

En Apolo Cybersecurity ayudamos a los equipos de seguridad a identificar y responder ante campañas sofisticadas de APT que se disfrazan de cibercrimen común. Trabajamos en análisis de comportamiento de identidades y accesos, detección de técnicas de ingeniería social avanzada en plataformas corporativas como Microsoft Teams, implantación de controles de seguridad específicos para entornos Microsoft 365, investigación forense de incidentes APT y simulacros de respuesta ante ataques de falsa bandera.

Si tu organización usa Microsoft Teams y no tiene controles específicos frente a solicitudes de chat externas o políticas de verificación para sesiones de screen-sharing con externos, el vector que MuddyWater usó en este ataque está abierto ahora mismo.

__wf_reserved_inherit
Prev Post
Next Post

¿Tienes dudas? ¡Estamos encantados de ayudarte!

¡CONTÁCTANOS HOY!
info@apolocybersecurity.com
Responsable: Apolo Analytics S.L.
Finalidad: Responder a tu mensaje y almacenaje en base de datos para gestionar tu solicitud.
Legitimación: Consentimiento del interesado al enviar el formulario.
Destinatarios: No se cederán datos a terceros, salvo obligación legal.
Derechos: Puedes ejercer tus derechos de acceso, rectificación y supresión, entre otros, enviando un correo a secretaria@apolocybersecurity.Com.
Información adicional: Puedes consultar la información completa en nuestra Política de Privacidad.

¡Gracias !

Su mensaje a sido recibido correctamente.
Oops! Algo a ido mal a la jora de enviar el formulario.
te esperamos!
agenda una llamada
Project photo
Envíanos un mail
Project photo
+34 937948378
Project photo
Carrer de Sant Joan de la Salle 42, Barcelona, España
Project photo
FAQScontactoTÉRMINOS Y CONDICIONESTrabaja con Nosotros
Acelerados por:
Certificaciones:
Light Eyes forma parte de Apolo Cybersecurity
Aviso legalpolítica de privacidadCookiespolítica seguridad de la información
Privacy Settings
Copyright © 2025 Apolo Cybersecurity