MuddyWater utilise Chaos Ransomware comme écran d'espionnage

Une fausse bannière construite pour tromper les enquêteurs

Depuis début février 2026, une série d'intrusions initialement attribuées au groupe ransomware Chaos s'est révélée être une opération d'espionnage conduite par le groupe APT iranien MuddyWater, selon une analyse approfondie publiée par les chercheurs de Rapid7. L'enquête, baptisée « Muddying the Tracks », constitue l'un des cas les plus documentés d'utilisation délibérée d'une fausse bannière dans le domaine de la cybercriminalité étatique contemporaine.

MuddyWater, également connu sous les noms de Seedworm, TEMP.Zagros, Mango Sandstorm, TA450 et Static Kitten, est un groupe de menace persistante avancée (APT) directement affilié au ministère iranien du Renseignement et de la Sécurité (MOIS). Actif depuis au moins 2017, le groupe cible historiquement les gouvernements, les infrastructures critiques et les entreprises du secteur défense au Moyen-Orient. Cette campagne 2026 marque une intensification notable de son activité contre des organisations nord-américaines, dans un contexte de tensions géopolitiques exacerbées entre Washington et Téhéran.

Le vecteur d'intrusion initial repose entièrement sur l'ingénierie sociale via Microsoft Teams. Les opérateurs de MuddyWater ont contacté directement des employés des organisations ciblées, se faisant passer pour du support technique interne ou des partenaires de confiance. Une fois la confiance établie, ils ont demandé à initier des sessions de partage d'écran — une fonctionnalité native et légitime de Teams — leur permettant d'observer en temps réel les activités des victimes, de récupérer des identifiants saisis à l'écran, et de capturer des jetons d'authentification multifacteur (MFA) lors de leur saisie.

Christiaan Beek, vice-président du Cyber Intelligence chez Rapid7, résume la mécanique de l'opération avec précision : « Ce qui frappe est la discordance entre la marque Chaos et le comportement de l'intrusion : des demandes de rançon ont été émises et des données de victimes publiées sur le site de fuite de Chaos, mais aucune phase de chiffrement de fichiers n'a eu lieu. Les signes sont bien plus cohérents avec l'accès, le vol d'identifiants, la persistance et la collecte de renseignements. »

Après la phase d'ingénierie sociale, les attaquants ont déployé des outils d'accès à distance commerciaux légitimes — AnyDesk et DWAgent — pour maintenir une présence persistante sur les systèmes compromis. Cette tactique est caractéristique de MuddyWater, qui utilise abondamment les logiciels RMM (Remote Management and Monitoring) légitimes comme vecteurs de persistance pour contourner les détections basées sur les signatures de malwares connus. Ces outils, présents dans d'innombrables environnements d'entreprise pour des usages légitimes, génèrent peu d'alertes de sécurité par défaut.

Pour accréditer la thèse d'une attaque ransomware classique, les opérateurs ont publié des exigences de rançon et prétendu avoir mis en ligne des données volées sur le site de fuite officiel du groupe Chaos. Pourtant, l'analyse forensique de Rapid7 n'a révélé aucun exécutable de chiffrement actif, aucune clé de déchiffrement proposée en échange d'un paiement, et aucune extension de fichier modifiée sur les systèmes victimes. La « rançon » n'était qu'un prétexte pour masquer l'objectif réel : l'exfiltration silencieuse de données sensibles au profit des services de renseignement iraniens.

L'attribution à MuddyWater repose sur plusieurs indicateurs techniques convergents. En premier lieu, les certificats de signature de code utilisés pour authentifier les outils de post-exploitation correspondent à des certificats précédemment associés aux campagnes de MuddyWater. En second lieu, l'infrastructure de commandement et de contrôle (C2) inclut des adresses IP géolocalisées en Iran. Enfin, les patterns tactiques — abus de Teams comme vecteur social, déploiement d'AnyDesk, ciblage de secteurs stratégiques pour Téhéran — reproduisent fidèlement les méthodes observées dans des campagnes antérieures attribuées au groupe.

Les organisations victimes confirmées ou supposées incluent une institution financière américaine non nommée, un aéroport, des organisations à but non lucratif opérant dans des domaines sensibles, et un fournisseur de solutions logicielles pour le secteur défense-aérospatial ayant des opérations actives en Israël. Ce dernier profil est particulièrement révélateur : dans le contexte géopolitique du conflit israélo-iranien, les chaînes d'approvisionnement de la défense constituent des cibles de renseignement prioritaires pour Téhéran, qui cherche à cartographier les vulnérabilités de l'industrie de défense israélienne et de ses partenaires américains.

Un tournant dans les tactiques des APT étatiques

Cette campagne illustre une évolution structurelle dans les opérations des groupes APT étatiques : l'emprunt délibéré de l'identité d'acteurs cybercriminels comme mécanisme de couverture et de déni plausible. En se dissimulant derrière la marque d'un groupe ransomware connu, MuddyWater a cherché à orienter les premières investigations vers des attributions non étatiques, gagnant ainsi un temps précieux pour poursuivre ses opérations sans déclencher les protocoles de réponse aux incidents liés aux intrusions étatiques.

Ce modèle dit de « false flag » n'est pas entièrement nouveau. Le groupe Lazarus, affilié à la Corée du Nord, avait utilisé des techniques similaires avec l'opération Olympic Destroyer lors des Jeux Olympiques de Pyeongchang en 2018, incorporant délibérément des indicateurs de compromission pointant vers d'autres acteurs. Mais la campagne MuddyWater 2026 représente une sophistication supplémentaire : l'utilisation non pas de simples faux IoC, mais de l'infrastructure réelle d'un groupe ransomware actif comme vecteur de couverture opérationnelle.

Pour les équipes SOC, ce cas met en lumière les limites des approches de détection reposant exclusivement sur l'identification de la payload finale. Lorsque le chiffrement n'est qu'un artefact de couverture, les indicateurs comportementaux pre-encryption — semaines de mouvements latéraux, collecte de données et persistance via outils RMM — deviennent les seuls vecteurs de détection précoce réalistes. Une approche comportementale basée sur l'analyse des usages anormaux d'outils légitimes (AnyDesk, DWAgent, Teams) est impérative pour les organisations des secteurs sensibles.

Sur le plan réglementaire, cette campagne rappelle aux entreprises relevant de NIS2 et DORA leurs obligations de signalement d'incidents dans les 24 heures. Un incident initialement classifié comme attaque ransomware puis réattribué à un groupe d'État étranger représente un événement d'une gravité bien supérieure, susceptible de déclencher des obligations de notification élargies auprès des autorités nationales de cybersécurité et des services de renseignement.

Ce qu'il faut retenir

• MuddyWater (APT iranien lié au MOIS) a utilisé la marque Chaos ransomware comme écran pour mener de l'espionnage sans chiffrer aucun fichier — une fausse bannière sophistiquée documentée par Rapid7.
• Microsoft Teams et les outils RMM légitimes (AnyDesk, DWAgent) constituent les vecteurs d'accès initial et de persistance — renforcer les politiques de sessions Teams externes est une priorité immédiate.
• Les organisations des secteurs financier, aéroportuaire et défense doivent implémenter une surveillance comportementale des outils RMM et vérifier les alertes de nouvelles connexions d'administration à distance.