Die Chaos-Ransomware existiert nach Angaben von Rapid7 seit Februar 2025. Sicherheitsexperten gehen davon aus, dass sie von ehemaligen Mitgliedern der inzwischen aufgelösten Gruppen BlackSuit und Royal entwickelt wurde.
Zum betroffenen Opfer machte Rapid7 nur wenige Angaben. Den initialen Zugang verschafften sich die Angreifer demnach über eine Social-Engineering-Kampagne, die Microsoft Teams ausnutzte. Sie kontaktierten Beschäftigte über externe Chat-Anfragen und begannen Einzelgespräche. Schließlich richteten sie eine Sitzung zur Bildschirmfreigabe ein, griffen auf Dateien zur VPN-Konfiguration zu und forderten die Betroffenen auf, Zugangsdaten einzugeben.
Zusätzlich installierten die Täter ein Werkzeug zur Fernverwaltung, um sich tieferen Zugriff auf das System zu sichern. Nach einer nicht näher genannten Zeitspanne verschickten sie mehrere E-Mails an Mitarbeiter des Unternehmens und drohten damit, gestohlene Daten zu veröffentlichen, falls kein Lösegeld gezahlt werde. Der Erpressungsversuch verlief laut den Forschenden ungeschickt; später veröffentlichten die Angreifer jedoch entwendete Daten, deren Echtheit das Unternehmen bestätigte.
Neben der fehlenden Verschlüsselung führten weitere technische Indizien zum iranischen MOIS: Die eingesetzte Schadsoftware und die verwendeten Zertifikate ließen sich dem Werkzeugkasten zuordnen, den üblicherweise MuddyWater nutzt. Die Angriffsinfrastruktur war zudem von Sicherheitsanbietern bereits einer früheren MuddyWater-Kampagne zugeschrieben worden, die im März auf Organisationen im Nahen Osten und in Nordafrika zielte.
Laut Blia und Feigl verdeutlicht der Vorfall „die zunehmende Annäherung zwischen staatlich gesteuerter Eindringaktivität und cyberkriminellem Handwerk". Bereits im vergangenen Jahr brachten Forschende MuddyWater mit dem Qilin-Ransomware-Ökosystem in Verbindung, nachdem diese Schadsoftware bei einem Angriff auf eine israelische Organisation eingesetzt worden war; der Angriff wurde später direkt dem iranischen MOIS zugeordnet. Möglicherweise habe dies die Angreifer dazu bewogen, sich nun unter der Marke Chaos zu tarnen, um das Risiko einer Zuordnung zu senken und eine gewisse glaubhafte Abstreitbarkeit zu wahren, so Rapid7.
Das Vorgehen ist kein Einzelfall: Staatliche Gruppen aus China, Russland, Nordkorea und dem Iran greifen zunehmend auf Ransomware-as-a-Service zurück — entweder als Tarnung für Spionage oder um Gegnern Schaden zuzufügen. Im Februar warnten Forschende, dass nordkoreanische Akteure die Medusa-Ransomware einsetzen; in mehreren weiteren Fällen diente Ransomware als Deckmantel für chinesische Spionage.
Das FBI berichtete zudem von iranischen Akteuren, die mit Partnern der Ransomware-Operationen NoEscape, Ransomhouse und AlphV zusammenarbeiteten und einen Anteil der Lösegeldzahlungen kassierten. Zu Beginn der militärischen Auseinandersetzung zwischen dem Iran und den USA kam es nach den Angaben zu einer Welle von Cyberaktivitäten, darunter mutmaßliche Ransomware-Angriffe und Wiper-Vorfälle iranischer Akteure.