El grup de ciberespionatge iranà MuddyWater, vinculat al Ministeri d’Intel·ligència i Seguretat de l’Iran (MOIS) i també conegut com Mango Sandstorm, Seedworm i Static Kitten, ha estat identificat com l’autor d’un atac que es va disfressar de ransomware per ocultar els seus veritables objectius d’espionatge. L’informe, publicat per Rapid7 el 6 de maig de 2026 aràn d’una intrusió ocorreguda a principis d’any, desvela una operació de “falsa bandera” en la qual Microsoft Teams va ser el vector d’entrada inicial. No hi va haver xifratge de fitxers, ni extorsió financera real: l’objectiu era accés, credencials i persistència a llarg termini. El ransomware va ser simplement la cortina de fum.

Què se sap de l’atac de MuddyWater amb Microsoft Teams?

Els fets confirmats per l’informe de Rapid7, amplificat per The Hacker News, BleepingComputer, SecurityWeek, SC Media i Infosecurity Magazine, són els següents:

  • Vector inicial: els atacants van enviar sol·licituds de xat externes no sol·licitades a empleats via Microsoft Teams, fent-se passar pel perfil de “Suport de TI”. Un cop establert el contacte, van iniciar sessions de screen-sharing interactives.
  • Robatori de credencials mitjançant enginyeria social directa: durant les sessions de pantalla compartida, van instruir les víctimes a executar ordres de descoberta (ipconfig /all, whoami, net start), a escriure les seves contrasenyes en arxius de text locals (credentials.txt, cred.txt) i, en alguns casos, a accedir a pàgines de phishing que imitaven Microsoft Quick Assist.
  • Manipulació del MFA: els atacants van convèncer els empleats d’afegir dispositius controlats per l’atacant a les seves configuracions d’autenticació multifactor, aconseguint persistència fins i tot si la contrasenya era canviada.
  • Sense xifratge de fitxers: malgrat operar sota la marca del ransomware Chaos, no es va xifrar cap fitxer. Aquest és l’indicador crític: en un atac de ransomware real el xifratge és l’acte central. La seva absència revela que l’objectiu era espionatge, no extorsió.
  • Post-explotació: amb accés establert, els atacants van instal·lar DWAgent, AnyDesk i RDP per mantenir presència remota. Van desplegar el dropper ms_upd.exe — signat amb el certificat “Donald Gay”, ja associat a MuddyWater — que va instal·lar el RAT personalitzat Game.exe, una versió trojanitzada de Microsoft WebView2 que permet execució d’ordres, transferència d’arxius i shells interactives, comunicant-se amb els C2 moonzonet[.]com i uploadfiler[.]com.
  • Extorsió com a façana: el grup va publicar la víctima al portal de filtracions de Chaos i va enviar correus d’extorsió. L’objectiu real era distreure l’equip de resposta cap a la recuperació del ransomware mentre MuddyWater mantenia accés persistent.
  • Atribució amb confiança moderada: Rapid7 basa l’atribució en el certificat “Donald Gay” (ja vinculat al malware Stagecomp de MuddyWater), el domini C2 moonzonet[.]com (usat en atacs previs contra organitzacions israel·lianes i occidentals el 2026), i l’ús de pythonw.exe per injectar codi en processos suspesos, segell característic del grup.

Per què els APTs estatals han convertit Microsoft Teams en vector preferit

El cas de MuddyWater no és aïllat. La convergència entre eines de productivitat corporativa i operacions de ciberespionatge és una tendència documentada que s’ha accelerat el 2025 i el 2026. Quatre raons estructurals expliquen aquest gir:

  1. Alta confiança implícita dels usuaris. Els empleats estan entrenats per desconfiar de correus de remitents desconeguts, però no de missatges a Teams de comptes que diuen ser de “IT Support”. La percepció que Teams és una eina “interna i segura” redueix el llindar d’alerta.
  2. El screen-sharing elimina barreres tècniques en la fase inicial. Una sessió de pantalla compartida dóna a l’atacant visibilitat directa sobre l’entorn de l’usuari sense necessitat de desplegar malware en la primera fase. L’accés inicial no requereix exploits.
  3. Difícil de distingir de suport tècnic legítim. El perfil de “IT Support” que MuddyWater refina a Teams es mimetitza amb els processos interns de moltes organitzacions. Distingir un atacant d’un tècnic real requereix verificació activa.
  4. Bypass natural del MFA mitjançant enginyeria social. Les solucions de MFA no protegeixen contra un empleat que voluntàriament afegeix un dispositiu de l’atacant a la seva configuració. L’enginyeria social converteix el propi usuari en el vector de bypass.

Com es produeix aquest tipus d’atac: la cadena tècnica pas a pas

L’atac documentat per Rapid7 segueix una cadena específica i replicable:

  1. Sol·licitud de xat Teams des de compte extern: els atacants van enviar invitacions de xat externes a empleats usant el nom o perfil visual de “IT Support” per generar confiança.
  2. Screen-sharing i reconeixement inicial: durant la sessió compartida, l’atacant va executar ordres de descoberta (ipconfig /all, whoami, net start) i va accedir a fitxers de configuració VPN de la víctima.
  3. Recol·lecció de credencials: les víctimes van ser instuïdes a escriure les seves contrasenyes en arxius .txt locals o a introduir-les en pàgines de phishing de Quick Assist. Es van manipular ajustos de MFA per afegir dispositius de l’atacant.
  4. Instal·lació de persistència: amb comptes compromesos, l’atacant va instal·lar DWAgent, AnyDesk i va establir sessions RDP per mantenir accés remot independent de les credencials originals.
  5. Desplegament de l’implant: una ordre curl va instal·lar ms_upd.exe, que va contactar amb moonzonet[.]com i va descarregar tres components: WebView2Loader.dll, el fitxer visualwincomp.txt i el RAT Game.exe.
  6. Operació sota cobertura ransomware: el grup va publicar la víctima al portal de Chaos i va enviar correus d’extorsió, generant una resposta d’incident centrada en “ransomware” que va ocultar l’activitat d’espionatge subjacent.

Mentre l’equip de seguretat gestionava la suposada extorsió, MuddyWater mantenia accés persistent i recopilava intel·ligència sense ser detectat.

Lliçons clau i IoCs per a equips SOC i responsables de seguretat

L’informe de Rapid7 deixa indicadors de comproms concrets i accions accionables per a qualsevol organització que faci servir Microsoft 365 i Teams:

Indicadors de comproms (IoCs) a vigilar ara mateix:

  • Sol·licituds de xat externes a Teams des de comptes que afirmen ser de “Suport de TI”, seguides de peticions de screen-sharing.
  • Creació d’arxius credentials.txt o cred.txt en directoris accessibles per l’usuari.
  • Instal·lació de DWAgent, AnyDesk o Game.exe (WebView2 trojanitzat) en sistemes corporatius.
  • Comunicacions de xarxa cap a moonzonet[.]com i uploadfiler[.]com (port 443).
  • Binaris signats amb el certificat “Donald Gay”.
  • Ús de pythonw.exe per injectar codi en processos suspesos.
  • Addició de nous dispositius a configuracions MFA no iniciada pel propi usuari.

Accions recomanades:

  • Configurar Teams per restringir o bloquejar xats externs no verificats i requerir aprovació explícita abans de permetre sessions de screen-sharing amb externs.
  • Revisar les configuracions MFA actives de tots els usuaris per detectar dispositius afegits recentment que els propis usuaris no reconeixen.
  • Cercar als endpoints els arxius credentials.txt, cred.txt i els binaris Game.exe i ms_upd.exe.
  • Afegir moonzonet[.]com i uploadfiler[.]com a les llistes de bloqueig del tallafoc i del proxy.
  • Comunicar als empleats que el Suport de TI mai sol·licita contrasenyes per Teams ni demana accés a la pantalla sense procés formal verificat.
  • Tractar qualsevol extorsió sense xifratge de fitxers com a senyal d’alerta d’APT, no de ransomware ordinari.

La ciberseguretat com a prioritat estratègica

El cas MuddyWater-Chaos confirma una nova normalitat que els equips de seguretat han d’assumir: els grups de ciberespionatge d’Estat estan adoptant l’estètica del cibercrim financer per ocultar les seves operacions. Un atac que sembla ransomware pot ser una operació d’intel·ligència. Una extorsió que sembla casual pot ser una operació de prepositioning per a atacs disruptius futurs.

Per a les organitzacions europees i espanyoles, el missatge és directe: la defensa no pot basar-se en reconèixer atacs per la seva aparència. Requereix detecció basada en comportament, monitoratge d’identitats i accessos en temps real, i processos de resposta a incidents que contemplin l’escenari de falsa bandera des del primer moment.

Apolo Cybersecurity: detectar el que s’oculta

A Apolo Cybersecurity ajudem els equips de seguretat a identificar i respondre davant de campanyes sofisticades d’APT que es disfressen de cibercrim comú. Treballem en anàlisi de comportament d’identitats i accessos, detecció de tècniques d’enginyeria social avançada en plataformes corporatives com Microsoft Teams, implantació de controls de seguretat específics per a entorns Microsoft 365, investigació forense d’incidents APT i simulacres de resposta davant atacs de falsa bandera.

Si la teva organització fa servir Microsoft Teams i no té controls específics davant sol·licituds de xat externes o polítiques de verificació per a sessions de screen-sharing amb externs, el vector que MuddyWater va usar en aquest atac està obert ara mateix.

__wf_reserved_inherit
Prev Post
Next Post

Tens dubtes? Estem encantats d'ajudar!

POSEU-VOS EN CONTACTE AMB NOSALTRES AVUI MATEIX!
info@apolocybersecurity.com
Responsable: Apolo Analytics S.L.
Finalitat: Respondre al teu missatge i emmagatzemar-lo en una base de dades per gestionar la teva sol·licitud.
Legitimació: Consentiment de l'interessat a l'hora de presentar el formulari.
Destinataris: Les dades no seran cedides a tercers, llevat que s'exigeixi legalment.
Drets: Pot exercir els seus drets d'accés, rectificació i supressió, entre d'altres, enviant un correu electrònic a secretaria@apolocybersecurity.Com.
Informació addicional: Podeu consultar la informació completa al nostre Política de privacitat.

Gràcies!

El vostre missatge ha estat rebut correctament.
Ups! Alguna cosa va sortir malament en enviar el formulari.
T'esperem!
Programar una trucada
Project photo
Envia'ns un correu electrònic
Project photo
+34 937948378
Project photo
Carrer de Sant Joan de la Salle 42, Barcelona, Espanya
Project photo
PREGUNTES FREQÜENTScontacteTERMES I CONDICIONSTreballa amb nosaltres
Accelerada per:
Certificacions:
Light Eyes forma part de la ciberseguretat Apollo
Renúnciapolítica de privacitatCookiespolítica de seguretat de la informació
Privacy Settings
Copyright © 2025 Apollo Cybersecurity