Іранське угруповання MuddyWater почало використовувати Microsoft Teams як канал для поширення шкідливого програмного забезпечення. Атаки маскуються під звичайне корпоративне спілкування і стають значно складнішими для виявлення.
Іранську хакерську групу MuddyWater, яку також знають під назвами Mango Sandstorm, Seedworm і Static Kitten, пов’язують з атакою, що виглядала як звичайний ransomware-інцидент, але насправді виявилась значно складнішою операцією.
За даними Rapid7, кампанію зафіксували на початку 2026 року. Спочатку вона нагадувала діяльність групи Chaos, яка працює за моделлю ransomware-as-a-service. Але з часом стало зрозуміло, що це не типовий випадок вимагання, а цілеспрямована атака, ймовірно пов’язана з державою, просто добре замаскована.
Все починалося з Microsoft Teams. Зловмисники писали співробітникам компаній від імені техпідтримки або колег і пропонували допомогу. Далі просили підключитися до демонстрації екрана. Під час такого сеансу вони витягували логіни й паролі та обходили багатофакторну автентифікацію.
У Rapid7 це описують прямо:
«Кампанія характеризувалася фазою соціальної інженерії з високим рівнем дотику через Microsoft Teams, де зловмисники використовували спільний доступ до екрана для збору облікових даних і маніпуляцій із MFA».
Після доступу до системи поведінка була нетиповою для ransomware. Файли не шифрували. Замість цього зловмисники закріплювались у мережі, рухались між системами й збирали дані. Для цього використовували звичайні інструменти віддаленого доступу, такі як DWAgent і AnyDesk.
В одному з випадків користувача навіть просили вручну ввести свої облікові дані у текстовий файл. Паралельно атакувальники перевіряли конфігурації VPN і виконували базові команди, щоб зрозуміти структуру мережі.
Далі в хід ішов файл ms_upd.exe, який завантажували через RDP із зовнішнього сервера. Після запуску він розгортав кілька компонентів: троян, замаскований під WebView2, легітимні бібліотеки та зашифровану конфігурацію для зв’язку з командним сервером. Сам троян регулярно підключався до C2 і міг виконувати команди, запускати PowerShell або працювати з файлами.
Окремо дослідники звернули увагу на цифровий підпис. Файл був підписаний сертифікатом, який раніше вже пов’язували з MuddyWater, що стало ще одним непрямим підтвердженням їхньої участі.
Хоча в атаці фігурували елементи, пов’язані з Chaos, зокрема підхід до вимагання, ключовий момент у тому, що справжнього шифрування не було. Це виглядає як навмисна спроба заплутати розслідування і видати державну операцію за звичайний кіберзлочин.
Подібна тактика для MuddyWater не нова. Раніше їх вже пов’язували з атаками на ізраїльські організації, а також із кампаніями, які маскувалися під діяльність інших угруповань або використовували сторонні інструменти.
Паралельно експерти фіксують загальне зростання активності проіранських груп. Наприклад, Handala Hack заявляла про витік даних військових США і атаку на порт у Фуджейрі, де було викрадено тисячі документів.
Фахівці звертають увагу, що такі операції стають дедалі складнішими для аналізу. Зловмисники змішують підходи державних атак і кіберзлочинності, щоб ускладнити атрибуцію і виграти час.
І головне, що кидається в очі в цій історії, це не самі інструменти, а підхід. Замість гучного шифрування і вимог викупу тихий доступ, збір даних і довга присутність у системі. І це виглядає значно небезпечніше.
