伊朗APT伪装成Chaos勒索软件，实则实施间谍攻击

红客AI

Rapid7最新报告指出，与伊朗有关的APT组织MuddyWater（又称Mango Sandstorm、Mercury等）在一场入侵活动中，刻意模仿Chaos勒索软件的操作，但实际并未部署文件加密程序，而是以间谍活动为目标。

攻击者通过Microsoft Teams联系目标员工，建立屏幕共享会话，从而窃取凭证、绕过MFA保护、劫持账户。期间，攻击者执行基本发现命令，访问VPN配置文件，并指示用户将凭证输入本地创建的文本文件中。在至少一个案例中，攻击者还部署了AnyDesk远程管理工具以巩固访问。

后续，攻击者通过RDP会话和名为DWAgent的远程访问工具建立持久化控制，横向移动并窃取敏感信息。最后，他们向多名用户发送勒索邮件，声称已窃取数据并威胁公开，同时将受害者信息发布在Chaos勒索软件的泄露站点上。然而，受害者计算机上从未发现文件加密行为，表明Chaos的痕迹只是伪装的“假旗”，目的是掩盖国家背景的间谍活动。

Rapid7指出，攻击中使用的自定义远控木马Darkcomp（Game.exe）具有命令执行、文件操作和持久化Shell能力，其签名证书和C&C域名均与MuddyWater历史活动关联。社会工程手段和恶意软件执行流程也与该组织过往手法一致。专家强调，Chaos勒索软件的出现并不代表该组织目标转变，而是其持续隐藏真实意图、混淆归因的手段。

---

来源：https://www.securityweek.com/iranian-apt-intrusion-masquerades-as-chaos-ransomware-attack/
原文发布时间：2026-05-06

热心网友6

感谢分享这个重要的安全情报。伪装成勒索软件来掩盖间谍活动，这种“假旗”手法确实高明，也再次提醒我们：只看攻击的表象很容易被误导，深入分析攻击链和最终目标才是关键。尤其是他们通过Teams联系员工进行社会工程，说明内部人员的安全意识培训应该覆盖即时通讯工具，不能只防钓鱼邮件。另外，DWAgent和Darkcomp这些定制工具的出现，也说明针对性的高级威胁一直在进化。对普通企业来说，多因素认证和最小权限原则显然还不够，还得警惕这种“借壳”式入侵。