MuddyWater utilise Chaos Ransomware comme faux drapeau pour de l'espionnage étatique

🌐 Contexte

Source : Rapid7 Blog, publié le 6 mai 2026. L’article présente une analyse forensique d’une intrusion détectée début 2026, initialement identifiée comme une attaque Chaos ransomware-as-a-service (RaaS), mais réévaluée comme une opération étatique sous faux drapeau.

🎭 Attribution et faux drapeau

L’analyse forensique attribue l’activité avec confiance modérée à MuddyWater (Seedworm), un groupe APT iranien affilié au Ministry of Intelligence and Security (MOIS). Les artefacts techniques ayant conduit à cette attribution incluent :

• Un certificat de signature de code spécifique
• Une infrastructure C2 caractéristique

Le groupe a opéré sous la bannière du groupe Chaos RaaS pour assurer une déniabilité plausible et masquer des objectifs géopolitiques.

🔗 Chaîne d’infection

La campagne se distingue par plusieurs éléments notables :

• Phase de social engineering intensive via Microsoft Teams, incluant du partage d’écran interactif pour collecter des identifiants et manipuler le MFA (Multi-Factor Authentication)
• Absence de chiffrement de fichiers : contrairement à un ransomware classique, les attaquants ont privilégié l’exfiltration de données et la persistance long terme
• Utilisation d’outils de gestion à distance légitimes comme DWAgent pour maintenir l’accès
• Déploiement d’un RAT custom nommé Game.exe, analysé en détail dans le rapport

🧩 Convergence cybercriminel / étatique

L’article souligne la stratégie croissante de MuddyWater consistant à exploiter l’écosystème cybercriminel pour couvrir des activités d’espionnage et de prépositionnement, notamment aux États-Unis. Le « tell » révélateur réside dans les techniques déployées — et celles délibérément omises (absence de chiffrement).

📄 Nature de l’article

Il s’agit d’un rapport d’incident combinant analyse forensique et threat intelligence, visant à déconstruire la chaîne d’infection, attribuer l’activité et documenter la convergence entre tradecraft étatique et cybercriminel.

🧠 TTPs et IOCs détectés

Acteurs de menace

• MuddyWater (state-sponsored) — orkl.eu · Malpedia · MITRE ATT&CK

TTP

• T1566 — Phishing (Initial Access)
• T1078 — Valid Accounts (Defense Evasion)
• T1557 — Adversary-in-the-Middle (Credential Access)
• T1621 — Multi-Factor Authentication Request Generation (Credential Access)
• T1219 — Remote Access Software (Command and Control)
• T1041 — Exfiltration Over C2 Channel (Exfiltration)
• T1036 — Masquerading (Defense Evasion)
• T1553.002 — Code Signing (Defense Evasion)
• T1071 — Application Layer Protocol (Command and Control)

IOC

• Fichiers : Game.exe

Malware / Outils

• Chaos (ransomware)
• Game.exe (rat)
• DWAgent (tool)

🟡 Indice de vérification factuelle : 56/100 (moyenne)

• ✅ rapid7.com — source reconnue (liste interne) (20pts)
• ✅ 1600 chars — texte partiel (10pts)
• ✅ 1 IOC(s) (6pts)
• ⬜ pas d’IOC vérifié (0pts)
• ✅ 9 TTPs MITRE identifiées (15pts)
• ⬜ date RSS ou approximée (0pts)
• ✅ acteur(s) identifié(s) : MuddyWater (5pts)
• ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.rapid7.com/blog/post/tr-muddying-tracks-state-sponsored-shadow-behind-chaos-ransomware/

🖴 Archive : https://web.archive.org/web/20260507070213/https://www.rapid7.com/blog/post/tr-muddying-tracks-state-sponsored-shadow-behind-chaos-ransomware/