Operación de MuddyWater: espionaje y sabotaje bajo la marca Chaos

Foto del autor

CyberSecureFox Editorial Team

MuddyWater, un grupo vinculado al Estado iraní, ha empezado a llevar a cabo operaciones dirigidas de espionaje y sabotaje bajo la «marca» de los extorsionadores Chaos, utilizando Microsoft Teams para un engaño social altamente interactivo, el robo de credenciales y la evasión de la autenticación multifactor, pero evitando el cifrado y centrándose en la persistencia encubierta y la exfiltración de datos; esto afecta directamente a organizaciones en Estados Unidos y en Oriente Medio y exige replantear el enfoque ante incidentes que parecen ataques de ransomware «corrientes», pero que en realidad pueden perseguir objetivos estratégicos de Irán.

Detalles técnicos de la campaña de MuddyWater bajo la marca Chaos

En el incidente investigado por Rapid7 (principios de 2026), MuddyWater imita el modo de operar del grupo RaaS Chaos, pero cambia el objetivo clave: en lugar de cifrado, actividad de espionaje y afianzamiento en la infraestructura.

Acceso inicial: Microsoft Teams como canal de ingeniería social altamente interactiva

  • El ataque comienza con chats externos en Microsoft Teams: los atacantes se ponen en contacto directamente con los empleados, a menudo haciéndose pasar por soporte de TI.
  • Se utiliza screen sharing interactivo: el operador literalmente «lleva de la mano» a la víctima, mostrando dónde hacer clic y qué introducir.
  • Durante la sesión:
    • se ejecutan comandos básicos de reconocimiento del entorno;
    • se abren archivos con configuraciones de VPN;
    • se pide a los usuarios que introduzcan su login/contraseña en archivos de texto creados localmente.
  • Con las credenciales obtenidas, los atacantes eluden el MFA manipulando al usuario durante la fase de autenticación.

En la terminología de MITRE ATT&CK T1566 (Phishing), no se trata de una campaña clásica de phishing por correo, sino de una variante más peligrosa de ingeniería social directa en el mensajero corporativo, donde para el empleado la línea entre «soporte» y atacante queda prácticamente desdibujada.

Persistencia y movimiento: apuesta por herramientas legítimas de administración remota

  • Para la persistencia se utilizan DWAgent y AnyDesk, así como capacidades integradas como RDP.
  • En al menos un caso, AnyDesk se instala directamente durante la sesión de screen sharing.
  • A través de RDP, el atacante ejecuta curl para descargar el ejecutable ms_upd.exe desde un servidor externo 172.86.126[.]208.
  • Este binario inicia una cadena de infección de varios pasos y despliega un RAT:
    • conexión permanente con el C2;
    • consulta de órdenes de control cada 60 segundos;
    • ejecución de comandos de sistema y scripts de PowerShell;
    • operaciones con archivos;
    • shell interactiva de cmd.exe o PowerShell a petición del operador.

Esta táctica encaja bien en T1078 (Valid Accounts) y T1105 (Ingress Tool Transfer): el atacante no rompe el sistema de frente, sino que pasa a «vivir» dentro de la infraestructura con la apariencia de un usuario legítimo y utilizando herramientas legítimas.

Artefactos falsos de ransomware y papel del certificado

  • En la infraestructura de la víctima se registran artefactos asociados a Chaos ransomware (marca, métodos de extorsión), sin embargo:
    • no se produce cifrado de archivos;
    • el énfasis se pone en la exfiltración de datos y el establecimiento de un acceso a largo plazo;
    • las negociaciones sobre el «rescate» se realizan por email.
  • Un indicador crítico de atribución es el uso de un certificado de firma de código con el sujeto «Donald Gay» para firmar ms_upd.exe.
  • El mismo certificado se utilizó anteriormente en el clúster de MuddyWater para firmar el loader CastleLoader (Fakeset), que instala CastleRAT y otros componentes.

Es precisamente la relación a través del certificado, y no la «marca» de ransomware, lo que constituye aquí un puente técnico fiable entre la campaña actual y la actividad histórica de MuddyWater.

IOC de la campaña descrita

  • Dirección IP de C2 / loader: 172.86.126[.]208
  • Dirección IP de infraestructura en la operación contra Omán: 172.86.76[.]127
  • Ejecutable: ms_upd.exe
  • Certificado de firma de código: sujeto "Donald Gay"
  • Herramientas RMM en contexto sospechoso: DWAgent, AnyDesk, Microsoft Quick Assist

Contexto del grupo MuddyWater y uso del ecosistema criminal

MuddyWater (también conocido como Seedworm, Mango Sandstorm, Static Kitten) está desde hace tiempo asociado con Irán y está documentado en el perfil de MITRE como G0069. La campaña actual es una continuación lógica de su evolución.

Del «pseudo‑ransomware» destructivo a un RaaS profundamente integrado

  • 2020: ataques contra organizaciones israelíes con el loader PowGoop, que desplegaba una variante de Thanos con capacidades destructivas.
  • 2023: colaboración con el clúster DEV‑1084 (persona DarkBit) para ataques destructivos bajo la apariencia de extorsión.
  • Octubre de 2025: uso del ransomware Qilin contra un hospital público israelí a través de un programa de socios «afiliados».

En cada uno de estos casos, el ransomware no actuaba como fin en sí mismo, sino como cobertura para destrucción, presión y ocultación de tareas de inteligencia. En la nueva campaña de MuddyWater bajo la «marca» Chaos, la situación es aún más reveladora:

  • se aplican métodos y servicios característicos del modelo comercial RaaS (doble, triple y en ocasiones cuádruple extorsión, añadiendo DDoS y presión mediante contactos con clientes/competidores);
  • sin embargo, en lugar de una monetización masiva se aprecia un interés selectivo por los datos, el acceso estable y organizaciones concretas.

Para los equipos de SOC e IR la principal conclusión es: la presencia de «marcas» conocidas de ransomware en los artefactos ya no garantiza que se trate de una extorsión puramente criminal. Puede ser una operación estatal que utiliza el mercado RaaS como camuflaje y logística.

Otras operaciones iraníes: Omán y el vínculo con el daño físico

Omán: directorio abierto con código de C2 y 26 000 registros de usuarios

Hunt.io descubrió en 172.86.76[.]127 un directorio abierto con:

  • kit de ataque y código de C2;
  • registros de sesiones;
  • archivos comprimidos con datos exfiltrados.

El objetivo: el Ministerio de Justicia y Asuntos Jurídicos de Omán (dominio mjla.gov[.]om):

  • más de 26 000 registros de usuarios;
  • datos sobre procesos judiciales y decisiones de comités;
  • volcados de los registros de sistema SAM y SYSTEM (base para la posterior compromisión de cuentas y del motor de dominio).

Hacktivismo y el puerto de Fujairah: vínculo entre los dominios ciber y cinético

Paralelamente, estructuras proxy afines a Irán (por ejemplo, Handala Hack) afirman:

  • haber publicado datos de casi 400 militares de la Armada de EE. UU. en el Golfo Pérsico;
  • haber comprometido el puerto de Fujairah en EAU con la filtración de unos 11 000 documentos (albaranes, registros de navegación y aduanas);
  • haber utilizado la información de infraestructura robada del puerto para dirigir ataques con misiles.

Si estas afirmaciones se confirman, será uno de los ejemplos más claros de cómo las operaciones cibernéticas preparan directamente el terreno para el ataque físico a instalaciones de infraestructura. Para los operadores de puertos, logística y energía esto significa que el enfoque tradicional en la protección de activos de TI es insuficiente sin un análisis simultáneo de cómo esos datos pueden aumentar la eficacia de los golpes cinéticos.

Evaluación del impacto y perfil de riesgo

  • Geografía del riesgo: Estados Unidos (principal volumen de víctimas de Chaos según datos de marzo de 2026), Israel, Omán, EAU y, en general, Oriente Medio.
  • Sectores:
    • construcción, manufactura, servicios empresariales (objetivos típicos de Chaos);
    • sanidad (hospital israelí);
    • sector gubernamental y sistema judicial (Omán);
    • infraestructura portuaria y de transporte-logística (Fujairah).
  • Tipo de consecuencias en caso de inacción:
    • presencia oculta a largo plazo gracias a herramientas RMM y cuentas válidas;
    • fuga de datos sensibles (datos personales, resoluciones judiciales, esquemas internos de infraestructura);
    • uso de los datos para presión política, desestabilización o preparación de daños físicos.

El mayor riesgo lo asumen las organizaciones donde las herramientas RMM se utilizan de forma generalizada y con poco control, y donde las comunicaciones externas en Teams están permitidas por defecto.

Recomendaciones prácticas de protección y respuesta

1. Control estricto de Microsoft Teams y de los canales de soporte

  • Desactive u organice los chats externos en Teams, limitándolos a dominios de socios verificados.
  • Configure alertas cuando:
    • se inicie screen sharing con usuarios externos;
    • se produzcan solicitudes masivas a cuentas o cambios en los ajustes de MFA a través de dichas sesiones.
  • Formalice un canal único de soporte de TI: el empleado debe entender que cualquier «soporte» fuera de ese canal es sospechoso.
  • Incluya una formación con un escenario concreto: «una persona en Teams pide introducir la contraseña en un archivo de texto / compartir la pantalla en la fase de introducción de la contraseña» es motivo para finalizar de inmediato la sesión y avisar al área de seguridad.

2. Gestión de herramientas RMM (DWAgent, AnyDesk, Quick Assist y otras)

  • Mantenga un registro de todas las herramientas de administración remota autorizadas.
  • Implemente control de ejecución de aplicaciones (allow‑list): cualquier nuevo software RMM fuera de la lista es motivo de investigación.
  • Monitorice:
    • la instalación y ejecución de AnyDesk y DWAgent en servidores y estaciones de trabajo críticas;
    • las sesiones salientes de este software fuera de los rangos corporativos.
  • Prohíba el uso de RDP desde direcciones externas sin VPN y autenticación estricta.

3. Refuerzo de la autenticación y lucha contra la ingeniería social en torno al MFA

  • Implemente mecanismos como number‑matching y avisos contextuales en el MFA, de forma que sea más difícil «forzar» al usuario a través de Teams.
  • Limite el número de solicitudes de MFA y bloquee la cuenta en caso de múltiples rechazos (protección frente al «cansancio de MFA»).
  • Minimice la presencia de administradores locales; especialmente en los equipos de usuarios que interactúan con frecuencia con el exterior (soporte, ventas, operadores de puertos, etc.).

4. Búsqueda de indicios de compromiso y caza basada en TTP

  • Revise los registros de:
    • conexiones a 172.86.126[.]208 y 172.86.76[.]127 (directamente o mediante curl);
    • creación o ejecución de archivos ms_upd.exe en servidores y estaciones de trabajo;
    • instalación/ejecución de AnyDesk y DWAgent en segmentos atípicos;
    • sesiones sospechosas de Microsoft Teams con usuarios externos, seguidas de actividad desde esas mismas cuentas en VPN/AD.
  • Analice todos los certificados de código de confianza añadidos recientemente; preste especial atención a los sujetos que no se ajustan a sus políticas (por ejemplo, «Donald Gay»).
  • Construya reglas de detección para los escenarios de T1041 (Exfiltration Over C2 Channel), teniendo en cuenta sesiones RAT prolongadas y poco visibles con sondeos periódicos del C2.

5. Para el sector público y la infraestructura crítica de la región

  • Separe las redes de TI y de tecnología operacional (OT), limitando el enrutamiento entre los segmentos de puertos, energía y sistemas empresariales.
  • Revise el acceso de proveedores y contratistas a los sistemas de gestión de infraestructura (incluidos RMM y VPN). Cualquier acceso externo debe:
    • estar vinculado a una persona concreta;
    • estar limitado en el tiempo;
    • ser registrado y grabado (session recording).
  • Incluya en los planes de respuesta el escenario en el que un «incidente de ransomware» pueda ser una cobertura para preparar un ataque físico (por analogía con el caso del puerto de Fujairah).

La conclusión clave para las organizaciones que trabajan con datos e infraestructuras sensibles es que cualquier incidente con elementos de extorsión debe considerarse ahora como una posible operación estatal; el primer paso práctico prioritario debe ser la actualización de los procedimientos de respuesta: además del bloqueo del ransomware, incluir la búsqueda sistemática de persistencia oculta a través de herramientas RMM, el análisis de la fuga de datos y la revisión de actividad anómala en Teams y otros canales de interacción remota.

Foto del autor

CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

CyberSecureFox

© 2026 INFO

Sobre el sitio

Sobre CyberSecureFox

Autores

Contacto

Redacción

Estándares editoriales

Correcciones

Legal

Política de privacidad

Términos de servicio