Nhóm APT Iran MuddyWater giả dạng tấn công ransomware Chaos để thực hiện gián điệp mạng

Nhóm APT MuddyWater, được cho là có liên kết với chính phủ Iran, đã thực hiện một chiến dịch xâm nhập mạng tinh vi, ngụy tạo thành một cuộc tấn công mã độc tống tiền (ransomware) của nhóm Chaos. Theo báo cáo mới nhất từ Rapid7, mục tiêu thực sự của cuộc tấn công này không phải là mã hóa dữ liệu để tống tiền, mà là hoạt động gián điệp thu thập thông tin tình báo.

Tấn công mạng từ Iran

Kỹ thuật tấn công qua Microsoft Teams

Trong cuộc xâm nhập được quan sát vào đầu năm 2026, các tác nhân đe dọa đã sử dụng kỹ thuật xã hội để tiếp cận ban đầu. Điểm đáng chú ý là họ đã tương tác trực tiếp với nhân viên của tổ chức nạn nhân thông qua Microsoft Teams. Bằng cách thiết lập các phiên chia sẻ màn hình, kẻ tấn công đã tiếp cận được tài sản của người dùng.

Khi đã kết nối, chúng thực hiện các lệnh khám phá cơ bản, truy cập các tệp cấu hình VPN và hướng dẫn người dùng nhập thông tin đăng nhập vào các tệp văn bản cục bộ. Trong ít nhất một trường hợp, kẻ tấn công đã triển khai công cụ quản lý từ xa AnyDesk để củng cố quyền truy cập.

Duy trì truy cập và đánh cắp dữ liệu

Sau khi xâm nhập ban đầu, nhóm tấn công đã thiết lập quyền truy cập liên tục thông qua các phiên RDP và công cụ truy cập từ xa DWAgent. Sử dụng quyền truy cập này, tin tặc đã triển khai các payload bổ sung, di chuyển ngang trong môi trường mạng và thu thập, exfiltrate (tải ra ngoài) thông tin quan trọng.

Rapid7 nhận định rằng các hoạt động này điển hình cho các chiến dịch gián điệp mạng, bao gồm trinh sát, thu thập thông tin xác thực và đánh cắp dữ liệu, chứ không phải là đặc điểm của các nhóm tống tiền thông thường.

Chiêu trò "Cờ giả" (False Flag)

Điểm mấu chốt của chiến dịch này nằm ở lớp ngụy trang. Cuối cùng, các tác nhân đe dọa đã gửi email tống tiền đến nhiều người dùng, tuyên bố đã đánh cắp thông tin và đe dọa sẽ rò rỉ dữ liệu nếu không trả tiền chuộc.

Nạn nhân được dẫn đến trang web rò rỉ dữ liệu của ransomware Chaos, nơi tổ chức này được liệt kê là nạn nhân mới. Tuy nhiên, một cuộc điều tra kỹ lưỡng cho thấy throughout the intrusion (trong suốt quá trình xâm nhập), kẻ tấn công chưa bao giờ triển khai mã độc mã hóa tệp trên các máy bị xâm phạm.

Điều này cho thấy các hiện vật của Chaos được cài đặt có chủ đích như một "cờ giả" để che giấu hoạt động được tài trợ bởi nhà nước.

"Việc bao gồm các yếu tố tống tiền và đàm phán có thể nhằm tập trung nỗ lực phòng thủ vào tác động tức thời, có khả năng làm chậm việc xác định các cơ chế duy trì tiềm ẩn được thiết lập thông qua các công cụ truy cập từ xa như DWAgent hoặc AnyDesk," Rapid7 lưu ý.

Quy kết và Công cụ độc hại

Cơ sở hạ tầng được sử dụng trong cuộc tấn công này trước đây đã được liên kết với MuddyWater, còn được gọi là Mango Sandstorm, Mercury, Seedworm và Static Kitten. Mỹ chính thức liên kết nhóm APT này với Bộ Tình báo và An ninh Iran (MOIS).

Trong cuộc tấn công, nhóm này đã triển khai một phần mềm độc hại (malware) tùy chỉnh có tên Darkcomp (Game.exe), hoạt động như một công cụ truy cập từ xa (RAT). Backdoor này hỗ trợ thực thi lệnh, thao tác tệp và thực thi shell liên tục. Nó được ký bằng chứng chỉ số liên kết đến các hoạt động trước đó của MuddyWater và sử dụng tên miền chỉ huy và kiểm soát (C&C) cũng liên quan đến tác nhân đe dọa Iran này.

Sự hội tụ của bằng chứng kỹ thuật và bối cảnh phù hợp với việc quy kết cho MuddyWater với độ tin cậy vừa phải. Việc sử dụng ransomware Chaos không cho thấy sự thay đổi trong mục tiêu cơ bản của nhóm, mà phản ánh nỗ lực nhất quán nhằm che giấu ý định hoạt động và làm phức tạp việc quy kết nguồn gốc tấn công.

Bảo mật mạng