MuddyWater hackers use Chaos ransomware as a decoy in attacks

1 minute de lecture

Mis à jour : May 06, 2026

Espionnage sous couvert de ransomware : L’opération MuddyWater

Le groupe de cyber-espionnage iranien MuddyWater (alias Static Kitten, Mango Sandstorm) utilise le ransomware « Chaos » comme leurre pour masquer des activités d’espionnage industriel et politique. Cette stratégie vise à brouiller les pistes en faisant passer une intrusion étatique pour une attaque cybercriminelle à but lucratif.

Points clés :

Détournement de marque : L’utilisation du ransomware Chaos est une façade ; les techniques déployées indiquent une recherche de persistance et d’exfiltration de données plutôt qu’un gain financier.
Vecteur initial : Ingénierie sociale via Microsoft Teams, incluant des sessions de partage d’écran pour voler des identifiants et contourner la double authentification (MFA).
Outils d’accès : Utilisation massive d’outils d’accès distant légitimes (AnyDesk, DWAgent, RDP) pour maintenir la persistance.
Malware personnalisé : Déploiement d’une porte dérobée (backdoor) nommée Game.exe, dissimulée sous l’apparence d’une application Microsoft WebView2, dotée de capacités anti-analyse et anti-VM.

Vulnérabilités :

L’attaque repose principalement sur l’exploitation de facteurs humains et de processus de support (ingénierie sociale via Microsoft Quick Assist, manipulation de sessions Teams). Aucune CVE spécifique n’est mentionnée, car l’attaque privilégie l’abus de fonctionnalités légitimes (Living off the Land).

Recommandations :

Sécurisation des communications : Renforcer la vigilance sur les demandes de partage d’écran ou d’assistance à distance non sollicitées, particulièrement via Microsoft Teams.
Audit des accès distants : Restreindre et surveiller l’utilisation d’outils d’accès distant (AnyDesk, DWAgent, Quick Assist).
Protection des identifiants : Imposer l’utilisation de clés de sécurité matérielles (FIDO2) pour rendre le contournement de l’authentification multifacteur (MFA) beaucoup plus difficile pour les attaquants.
Surveillance EDR : Détecter les exécutions suspectes de fichiers comme ms_upd.exe ou Game.exe, et surveiller les tentatives de modification des paramètres de sécurité locaux par des comptes utilisateurs.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

MuddyWater hackers use Chaos ransomware as a decoy in attacks

Espionnage sous couvert de ransomware : L’opération MuddyWater

Partager sur

Vous pourriez aimer

Your AI Agents Are Already Inside the Perimeter. Do You Know What Theyre Doing?

La gouvernance des agents IA : Maîtriser la « matière noire » de l’identité

Windows Phone Link Exploited by CloudZ RAT to Steal Credentials and OTPs

Détournement de l’application « Mobile connecté » par le malware CloudZ

Why ransomware attacks succeed even when backups exist

La vulnérabilité des sauvegardes face aux ransomwares

Weekly Update 502

L’ascension du groupe ShinyHunters par l’ingénierie sociale