Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware MuddyWater False-Flag-Ransomware-Angriff

MuddyWater False-Flag-Ransomware-Angriff

Von Mezo in Malware, Erweiterte, anhaltende Bedrohung (APT)
Übersetzen Sie in:

Die iranische, staatlich geförderte Bedrohungsgruppe MuddyWater, die auch unter Aliasnamen wie Mango Sandstorm, Seedworm und Static Kitten bekannt ist, wird mit einer ausgeklügelten Ransomware-Kampagne in Verbindung gebracht, die Ermittler als False-Flag-Operation einstufen. Obwohl der Angriff zunächst Ähnlichkeiten mit einer herkömmlichen Ransomware-as-a-Service-Operation (RaaS) unter Verwendung der Chaos-Ransomware aufwies, ergaben eingehendere Analysen Merkmale, die auf einen gezielten, staatlich geförderten Cyberangriff hindeuten, der als finanziell motivierte Erpressung getarnt ist.

Die Anfang 2026 entdeckte Operation setzte stark auf Social Engineering über Microsoft Teams. Die Angreifer führten hochgradig interaktive Gespräche mit den Opfern und nutzten die Bildschirmfreigabe, um Zugangsdaten zu erbeuten und die Multi-Faktor-Authentifizierung zu manipulieren. Nach dem Zugriff verzichteten die Angreifer auf traditionelle Ransomware-Taktiken wie die großflächige Verschlüsselung von Dateien und konzentrierten sich stattdessen auf Datendiebstahl, unbemerkte Persistenz und langfristigen Netzwerkzugriff mithilfe von Fernwartungstools.

Methoden der Cyberkriminalität zur Verschleierung staatlicher Operationen

Forscher gehen davon aus, dass die Kampagne ein bewusstes Bestreben von MuddyWater darstellt, die Urheberschaft durch die Anwendung von Werkzeugen und Techniken zu verschleiern, die üblicherweise mit Cyberkriminalität in Verbindung gebracht werden. Die Gruppe hat zunehmend kommerziell erhältliche Untergrund-Malware und Fernzugriffssysteme in ihre Operationen integriert, darunter Tools wie CastleRAT und Tsundere.

Diese Taktik ähnelt früheren MuddyWater-Kampagnen, die Spionage und destruktive Aktivitäten mit Ransomware-ähnlichen Operationen kombinierten. Im Jahr 2020 griff die Gruppe große israelische Organisationen an und nutzte den PowGoop-Loader, um eine zerstörerische Variante der Thanos-Ransomware zu verbreiten. 2023 brachte Microsoft die Gruppe mit DEV-1084, einem Akteur hinter dem Pseudonym DarkBit, in Verbindung, dessen Angriffe als Ransomware-Vorfälle getarnt waren. Ende 2025 gerieten iranische Akteure zudem in Verdacht, die Qilin-Ransomware gegen ein israelisches Regierungskrankenhaus eingesetzt zu haben.

Sicherheitsforscher kamen zu dem Schluss, dass die jüngste Kampagne wahrscheinlich von iranischen Akteuren durchgeführt wurde, die über etablierte Cyberkriminalitätsinfrastrukturen operierten und dabei weitergehende geopolitische Ziele verfolgten. Der Einsatz von Qilin und die Beteiligung an Ransomware-Netzwerken boten vermutlich operative Deckung, die Möglichkeit, jegliche Beteiligung abzustreiten, und Zugang zu ausgereiften Angriffsfähigkeiten. Gleichzeitig halfen sie den Angreifern, die verstärkte israelische Überwachung zu umgehen.

Chaos RaaS: Ein wachsendes Erpressungsökosystem

Chaos entstand Anfang 2025 als Ransomware-as-a-Service-Gruppe, die für ihre aggressiven Doppelerpressungstaktiken bekannt war. Die Gruppe bewarb ihr Partnerprogramm in Untergrundforen für Cyberkriminalität wie RAMP und RehubCom und baute ihre operative Reichweite rasch aus.

Chaos-Kampagnen kombinieren häufig E-Mail-Flut, Voice-Phishing und Angriffe mit Identitätsdiebstahl in Microsoft Teams, bei denen sich Angreifer als IT-Supportmitarbeiter ausgeben. Die Opfer werden dazu verleitet, Fernzugriffsanwendungen wie Microsoft Quick Assist zu installieren. Dadurch können sich die Angreifer Zugang zu Unternehmensnetzwerken verschaffen, bevor sie ihre Berechtigungen ausweiten, sich lateral ausbreiten und Ransomware einsetzen.

Die Gruppe hat zudem zunehmend aggressive Erpressungsmethoden angewendet:

  • Doppelte Erpressung durch Datendiebstahl und Lösegeldforderungen
  • Dreifache Erpressung unter Androhung von DDoS-Angriffen (Distributed Denial-of-Service).
  • Vierfache Erpressungstaktiken, die Drohungen beinhalten, Kunden, Partner oder Wettbewerber zu kontaktieren, um den Druck auf die Opfer zu verstärken

Bis März 2026 hatte Chaos auf seiner Leak-Plattform 36 Opfer gefordert, die meisten davon in den Vereinigten Staaten. Zu den am stärksten betroffenen Branchen zählten das Baugewerbe, die Fertigungsindustrie und der Dienstleistungssektor.

Anatomie der Intrusion

Im Zuge des untersuchten Angriffs initiierten die Angreifer externe Microsoft Teams-Konversationen mit Mitarbeitern, um Vertrauen zu gewinnen und Bildschirmfreigabesitzungen zu erzwingen. Kompromittierte Benutzerkonten wurden anschließend für Aufklärung, dauerhafte Zugriffe, laterale Bewegung und Datenexfiltration genutzt.

Während der Verbindung zu den Systemen der Opfer führten die Angreifer Aufklärungsbefehle aus, griffen auf VPN-bezogene Dateien zu und wiesen die Benutzer an, Anmeldeinformationen manuell in lokal erstellte Textdokumente einzugeben. In einigen Fällen war AnyDesk installiert, um die Fernzugriffsfunktionen zu verstärken.

Die Angreifer nutzten außerdem das Remote Desktop Protocol (RDP), um mithilfe des curl-Tools eine ausführbare Datei namens „ms_upd.exe“ von der externen Serveradresse 172.86.126.208 herunterzuladen. Nach dem Start initiierte die Schadsoftware eine mehrstufige Infektionskette, die darauf abzielte, weitere schädliche Komponenten zu installieren und eine dauerhafte Befehls- und Kontrollverbindung herzustellen.

Malware-Arsenal hinter der Kampagne

Die Infektionskette umfasste mehrere unterschiedliche Malware-Komponenten, die zusammenarbeiteten, um die Persistenz aufrechtzuerhalten und Remote-Befehle auszuführen:

  • 'ms_upd.exe' (Stagecomp) sammelte Systeminformationen und kontaktierte einen Command-and-Control-Server, um sekundäre Nutzdaten herunterzuladen, darunter 'game.exe', 'WebView2Loader.dll' und 'visualwincomp.txt'.
  • Die Datei „game.exe“ (Darkcomp) fungierte als spezieller Remote-Access-Trojaner, der sich als legitime Microsoft WebView2-Anwendung tarnte und auf dem offiziellen WebView2APISample-Projekt basierte.
  • Die Datei „WebView2Loader.dll“ war eine legitime Abhängigkeit, die für die Funktionalität von Microsoft Edge WebView2 erforderlich war.
  • Die Datei „visualwincomp.txt“ enthielt verschlüsselte Konfigurationsdaten, die vom RAT zur Identifizierung der Kommando- und Kontrollinfrastruktur verwendet wurden.

Sobald der Remote-Access-Trojaner aktiv war, kommunizierte er alle 60 Sekunden mit seinem Befehlsserver, wodurch die Bediener PowerShell-Skripte ausführen, Systembefehle ausführen, Dateien manipulieren und interaktive Befehlszeilensitzungen starten konnten.

Beweise, die die Operation mit MuddyWater in Verbindung bringen

Die Zuordnung zu MuddyWater wurde durch die Entdeckung eines mit „Donald Gay“ verknüpften Codesignaturzertifikats untermauert, mit dem die Malware-Datei „ms_upd.exe“ signiert wurde. Dasselbe Zertifikat war bereits zuvor mit MuddyWater-Malware in Verbindung gebracht worden, darunter eine CastleLoader-Downloader-Variante namens Fakeset.

Die Forscher stellten fest, dass die Operation eine deutliche Überschneidung zwischen staatlich geförderter Spionage und den operativen Methoden von Cyberkriminellen aufzeigte. Die Integration von Ransomware-Branding, Erpressungsverhandlungen und kommerziell erhältlichen Malware-Frameworks erschwerte die Zuordnung und lenkte die Aufmerksamkeit der Verteidigung auf unmittelbare Maßnahmen zur Lösegeldforderung anstatt auf langfristige Persistenzmechanismen, die durch Fernzugriffstools etabliert wurden.

Warum der Angriff so besonders war

Einer der ungewöhnlichsten Aspekte der Kampagne war das scheinbare Fehlen einer flächendeckenden Dateiverschlüsselung trotz der Verwendung von Chaos-Ransomware-Artefakten. Diese Abweichung vom üblichen Verhalten von Ransomware deutet stark darauf hin, dass die Ransomware-Komponente primär der Tarnung oder operativen Irreführung diente und nicht das Hauptziel der Mission darstellte.

Die Kampagne verdeutlicht zudem einen wachsenden Trend iranischer Akteure, Cyberkriminalitätswerkzeuge in staatlich gelenkte Operationen zu integrieren. Durch die Nutzung bestehender Untergrundinfrastrukturen und Malware-Ökosysteme gewinnen Gruppen wie MuddyWater größere operative Flexibilität, senken ihre internen Entwicklungskosten und erschweren die Zuordnung von Angriffen für Verteidiger und Geheimdienstanalysten erheblich.

Im Trend

Am häufigsten gesehen

Wird geladen...