MuddyWater, auch bekannt unter den Aliasnamen Static Kitten, Mango Sandstorm und Seedworm, ist eine iranische Spionagegruppe, die mit dem Ministerium für Intelligenz und Sicherheit (MOIS) des Irans verbunden ist. Die Gruppe ist berüchtigt für ihre langfristigen Netzwerk-Eindringungen und hochzielgerichtete Cyber-Spionagekampagnen.
In dem von Rapid7 untersuchten Angriff zeigt sich ein neues Muster der Täuschung: Die Forscher gehen mit moderater Konfidenz davon aus, dass MuddyWater hinter dem Angriff steckt, obwohl die Ransomware Chaos von außen als Hauptbedrohung erschien. Die Attribution basiert auf mehreren Faktoren — Infrastruktur-Überschneidungen, ein spezifisches Code-Signatur-Zertifikat, das die Gruppe zur Signierung ihrer Malware Stagecomp und Darkcomp verwendet, sowie charakteristische operative Tradecraft-Methoden.
Die Angriffskette begann mit Microsoft Teams-basiertem Social Engineering. Angreifer initiierten Chats mit Mitarbeitern, etablierten Screen-Sharing-Sessions und erbeuteten auf verschiedene Wege Anmeldedaten: durch Phishing-Seiten, die sich als Microsoft Quick Assist ausgaben, oder durch Social Engineering, das Opfer dazu brachte, Passwörter in lokale Textdateien einzutippen. Mehrfaktor-Authentifizierung wurde manipuliert oder umgangen. Für persistente Fernzugriffe setzten die Angreifer auf AnyDesk und RDP.
Nach der Kontokompromittierung authentifizierten sich die Angreifer an internen Systemen einschließlich des Domain Controllers. Sie deployte dann eine Custom-Backdoor namens Game.exe, verkleidet als Microsoft WebView2-Anwendung. Diese Malware bietet 12 Befehle inklusive PowerShell- und CMD-Ausführung sowie persistente Shell-Zugriffe.
Rapid7 vermutet, dass die Ransomware-Komponente primär dazu diente, die eigentliche Spionationsoperation zu verschleiern und die Attributionsfindung zu erschweren. Das Chaos-RaaS-System, das 2025 eingeführt wurde, ist normalerweise für finanzielle Erpressungen bekannt. Die Gruppe könnte nach ihrer Enttarnung bei einem Qilin-Ransomware-Angriff auf eine israelische Organisation im späten 2025 zur Chaos-Marke gewechselt haben.
Für deutsche Unternehmen ist diese Entwicklung besonders besorgniserregend. Microsoft Teams wird in deutschen Firmen massiv genutzt, und Social Engineering bleibt eine hocheffektive Angriffsmethode. Das BSI empfiehlt verstärkte Sensibilisierung, strikte MFA-Richtlinien und regelmäßige Sicherheitsaudits. Organisationen sollten verdächtige Teams-Aktivitäten monitoren und bei Verdacht auf Kompromittierung sofort das BSI oder spezialisierte Incident-Response-Teams kontaktieren.