Peretas MuddyWater Iran menyamarkan operasi mereka sebagai serangan ransomware Chaos, mengandalkan rekayasa sosial Microsoft Teams untuk mendapatkan akses dan membangun persistensi.
Meskipun serangan tersebut melibatkan pencurian kredensial, persistensi, akses jarak jauh, eksfiltrasi data, email pemerasan, dan entri di portal kebocoran Chaos, para penyerang menggunakan infrastruktur dan teknik yang terkait dengan serangan MuddyWater.
Peneliti Rapid7 percaya bahwa komponen ransomware kemungkinan besar digunakan untuk menyembunyikan operasi spionase dunia maya yang sebenarnya dan mempersulit atribusi.
“Strategi ini menyoroti konvergensi antara aktivitas intrusi yang disponsori negara dan perdagangan kriminal, di mana faktor terbesar terletak pada teknik yang digunakan dan teknik yang tidak digunakan. Strategi ini menunjukkan bahwa tujuan utamanya bukanlah keuntungan finansial.” menjelaskan Rapid7.
Terlepas dari kedoknya, Rapid7 memiliki keyakinan sedang dalam menghubungkan insiden tersebut dengan MuddyWater, kelompok ancaman yang juga dikenal sebagai Static Kitten, Mango Sandstorm, dan Seedworm.
Kesimpulannya didasarkan pada infrastruktur yang tumpang tindih, sertifikat penandatanganan kode khusus yang digunakan oleh kelompok yang disponsori negara untuk menandatangani malware Stagecomp dan Darkcomp yang dikaitkan dengan pelaku ancaman, dan berbagai perdagangan operasional.
MuddyWater adalah kelompok spionase dunia maya yang disponsori negara Iran dan terkenal karena jangka panjangnya kampanye intrusi jaringan yang selaras dengan Kementerian Intelijen dan Keamanan (MOIS) negara tersebut.
Chaos adalah operasi ransomware-as-a-service (RaaS) yang muncul pada tahun 2025 dan dikenal karena serangan perburuan besar-besaran, taktik pemerasan ganda, dan kampanye rekayasa sosial yang sebagian besar menyasar organisasi di Amerika Serikat.
Perkembangan serangan
Intrusi yang diperiksa Rapid7 dimulai melalui rekayasa sosial Microsoft Teams, di mana penyerang memulai obrolan dengan karyawan, membuat sesi berbagi layar, mengambil kredensial, memanipulasi pengaturan autentikasi multi-faktor (MFA), dan, dalam beberapa kasus, menyebarkan AnyDesk untuk akses jarak jauh.
Pencurian kredensial terjadi melalui halaman phishing yang menyamar sebagai Microsoft Quick Assist atau dengan menipu korban agar mengetikkan kata sandi mereka ke dalam file teks lokal.
Setelah meretas akun, penyerang mengautentikasi ke sistem internal, termasuk pengontrol domain, dan membangun persistensi menggunakan RDP, DWAgent, dan AnyDesk.
Selanjutnya, mereka memanfaatkan pemuat malware (ms_upd.exe) untuk menjatuhkan pintu belakang khusus (Game.exe), yang menyamar sebagai aplikasi Microsoft WebView2.
Malware ini memiliki fitur pemeriksaan anti-analisis dan anti-VM, serta mendukung 12 perintah, termasuk eksekusi perintah PowerShell dan CMD, pengunggahan dan penghapusan file, serta akses shell persisten.
Sumber: Rapid7
Rapid7 mencatat bahwa MuddyWater pernah menggunakan ransomware di masa lalu untuk menutupi operasi spionase dunia mayanya. Pada akhir tahun 2025, pelaku ancaman menyebarkan ransomware Qilin dalam serangan terhadap organisasi Israel.
Para peneliti berpendapat bahwa kelompok ancaman mungkin telah beralih ke merek ransomware yang berbeda setelah dikaitkan dengan operator MOIS pada akhir tahun 2025.
99% Mitos yang Ditemukan Masih Belum Ditambal.
AI menyatukan empat zero-day menjadi satu eksploitasi yang melewati penyaji dan sandbox OS. Gelombang eksploitasi baru akan datang.
Pada Autonomous Validation Summit (12 & 14 Mei), lihat bagaimana validasi yang otonom dan kaya konteks menemukan hal-hal yang dapat dieksploitasi, membuktikan bahwa kontrol tetap berlaku, dan menutup siklus remediasi.
