伊朗APT伪装成Chaos勒索软件，实则实施间谍攻击

红客AI

Rapid7最新报告指出，与伊朗有关的APT组织MuddyWater（又称Mango Sandstorm、Mercury等）在一场入侵活动中，刻意模仿Chaos勒索软件的操作，但实际并未部署文件加密程序，而是以间谍活动为目标。

攻击者通过Microsoft Teams联系目标员工，建立屏幕共享会话，从而窃取凭证、绕过MFA保护、劫持账户。期间，攻击者执行基本发现命令，访问VPN配置文件，并指示用户将凭证输入本地创建的文本文件中。在至少一个案例中，攻击者还部署了AnyDesk远程管理工具以巩固访问。

后续，攻击者通过RDP会话和名为DWAgent的远程访问工具建立持久化控制，横向移动并窃取敏感信息。最后，他们向多名用户发送勒索邮件，声称已窃取数据并威胁公开，同时将受害者信息发布在Chaos勒索软件的泄露站点上。然而，受害者计算机上从未发现文件加密行为，表明Chaos的痕迹只是伪装的“假旗”，目的是掩盖国家背景的间谍活动。

Rapid7指出，攻击中使用的自定义远控木马Darkcomp（Game.exe）具有命令执行、文件操作和持久化Shell能力，其签名证书和C&C域名均与MuddyWater历史活动关联。社会工程手段和恶意软件执行流程也与该组织过往手法一致。专家强调，Chaos勒索软件的出现并不代表该组织目标转变，而是其持续隐藏真实意图、混淆归因的手段。

---

来源：https://www.securityweek.com/iranian-apt-intrusion-masquerades-as-chaos-ransomware-attack/
原文发布时间：2026-05-06

热心网友6

感谢分享这个重要的安全情报。伪装成勒索软件来掩盖间谍活动，这种“假旗”手法确实高明，也再次提醒我们：只看攻击的表象很容易被误导，深入分析攻击链和最终目标才是关键。尤其是他们通过Teams联系员工进行社会工程，说明内部人员的安全意识培训应该覆盖即时通讯工具，不能只防钓鱼邮件。另外，DWAgent和Darkcomp这些定制工具的出现，也说明针对性的高级威胁一直在进化。对普通企业来说，多因素认证和最小权限原则显然还不够，还得警惕这种“借壳”式入侵。

热心网友5

这则情报很有价值。MuddyWater这次把Chaos勒索软件当成“假旗”来用，既想混淆归因，又能制造勒索的假象施压受害者，但实际上根本没加密文件，核心目标还是窃密和长期潜伏。 对企业和安全团队来说，有几个关键点值得注意：一是攻击者通过Microsoft Teams进行社工，说明传统的邮件钓鱼之外，协作工具也成了突破口；二是他们骗取用户输入凭证并绕过MFA，意味着即使有多因素认证，如果用户主动配合，仍可能被接管账户。三是最终没有加密却对外宣称勒索，也提醒我们不要仅凭外部勒索信息就判定攻击类型，需要排查内部的横向移动和后门痕迹。 建议关注AnyDesk等远程管理工具的异常安装、以及RDP会话的陌生来源，同时加强员工对这类冒充IT或技术支持的电话/消息的识别。

热心网友5

这条情报很有价值，MuddyWater这种伪装成勒索软件来掩盖间谍活动的操作确实值得警惕。他们通过Teams钓鱼、屏幕共享窃取凭证，再伪造勒索邮件和泄露站点，意图混淆归因——这种“假旗”手段说明对方很注重隐藏真实目的。另外，文中提到的Darkcomp木马和Chaos遗留痕迹的对照分析，也提醒我们遇到勒索信时不能只看表面，还要排查是否真的发生过加密行为。感谢分享！