Die Incident-Response-Experten Alexandra Blia und Ivan Feigl von Rapid7 legten in ihrem Bericht dar, wie die Chaos-Ransomware als Werkzeug zur Verschleierung operativer Ziele und zur Erschwering der Zuordnung missbraucht wird. Die Forscher betonen, dass Attributionsverschleierung zwar ein typisches Merkmal staatlicher Akteure ist, MuddyWaters verstärkte operative Aktivität seit Anfang 2026 jedoch ein neues Ausmaß erreicht hat.
Die Angriffskampagne startete mit Social Engineering über Microsoft Teams. Angreifer kontaktierten Mitarbeiter durch externe Chat-Anfragen und initiierten Einzelgespräche. Nach Etablierung einer Screen-Sharing-Sitzung gelang es ihnen, auf VPN-Konfigurationsdateien zuzugreifen und Benutzer zur Eingabe von Anmeldedaten zu bewegen. Ein Remote-Management-Tool wurde bereitgestellt, um tiefere Systemzugriffe zu ermöglichen. Anschließend versendeten die Angreifer Erpressungs-E-Mails, drohten mit Datenveroffentlichung und forderten Lösegeld.
Allerdings wiesen mehrere Merkmale auf die wahre Natur des Angriffs hin: Die fehlende Datenverschlüsselung war ein zentrales Indiz. Rapid7 entdeckte technische Spuren, die unzweifelhaft auf MuddyWater und das iranische MOIS hindeuten. Die verwendete Malware und Zertifikate entsprachen dem charakteristischen Toolkit dieser Gruppe. Zudem ließ sich die Infrastruktur auf eine andere MuddyWater-Kampagne von März 2025 zurückführen, die Organisationen im Nahen Osten und Nordafrika angegriffen hatte.
Blia und Feigl sehen darin einen Wendepunkt: “Dieser Vorfall unterstreicht die zunehmende Vermischung zwischen staatlichen Intrusions-Aktivitäten und kriminellen Techniken.” Die Adoption von Chaos-Ransomware könnte auch eine Reaktion auf frühere Zuordnungserfolge sein. 2024 wurde MuddyWater mit der Qilin-Ransomware verbunden, die israelische Organisationen angriff und direkt dem MOIS zugeordnet wurde.
Das Phänomen ist nicht isoliert. Auch nordkoreanische, chinesische und russische Gruppen nutzen Ransomware-Operationen als Deckmantel für Spionage oder zur Verursachung von Störungen. Das Modell ermöglicht es Staatsakteuren, ihre wahren Motivationen zu verwischen und westlichen Ermittlungsbehörden die Attribution zu erschweren. Das FBI dokumentierte mehrmals iranische Akteure, die mit Ransomware-Affiliates kooperierten und Profite kassierten.
In neueren Eskalationen setzten iranische Hacker auch Malware wie Pay2Key ein, um US-Gesundheitsorganisationen anzugreifen. Die Konvergenz von Staatsspionage und Cyberkriminalität markiert eine neue Bedrohungsebene, die Abwehrmaßnahmen erheblich erschwert.