Rapid7 : MuddyWater se cache derriere Chaos Ransomware

Comment MuddyWater a transforme un ransomware en outil de desinformation

Les chercheurs de Rapid7 ont publie un rapport approfondi revelant l'une des techniques d'obfuscation les plus sophistiquees recemment observees dans le paysage des menaces etatiques. Le groupe iranien MuddyWater, egalement connu sous les noms Seedworm, Static Kitten et Mango Sandstorm, a conduit une intrusion en se faisant passer pour un affilie du ransomware Chaos, afin de masquer ce qui etait en realite une operation d'espionnage classique. L'attribution est portee par l'analyse technique de Rapid7, dont les conclusions ont ete reprises et confirmees par SecurityWeek, Infosecurity Magazine, The Record et Security Affairs.

MuddyWater est un acteur de la menace bien documente, actif depuis au moins 2017 et officiellement associe au Ministere du renseignement et de la securite iranien (MOIS). Le groupe est connu pour ses campagnes d'espionnage visant des entites gouvernementales, des entreprises de defense et des operateurs d'infrastructures critiques, principalement au Moyen-Orient, en Europe et en Amerique du Nord. Ses tactiques incluent habituellement l'ingenierie sociale, l'exploitation de vulnerabilites connues, et le deploiement de backdoors personnalises pour maintenir un acces persistant aux reseaux compromis sur le long terme.

L'intrusion documentee par Rapid7 a debute de maniere caracteristique pour MuddyWater : une session de partage d'ecran via Microsoft Teams. Les attaquants ont engage des employes de l'organisation cible en se presentant probablement comme un support technique ou un prestataire legitime. Cette technique de social engineering est particulierement efficace car Teams est omnipresent dans les environnements d'entreprise, et les utilisateurs sont conditionnes a accorder des acces d'ecran a leurs collegues ou au support IT sans mefiance particuliere.

A partir de cet acces visuel, MuddyWater a procede a la recolte de credentials. Les attaquants ont pu observer les mots de passe saisis par la victime, manipuler les protections d'authentification multifacteur en piegeant la victime pour qu'elle valide des notifications push frauduleuses, et compromettre des comptes pour obtenir un point d'entree persistant. Cette technique dite de MFA fatigue est documentee depuis 2022 dans plusieurs compromissions majeures, mais elle reste tres efficace car elle exploite la confiance de l'utilisateur dans le contexte d'une session Teams apparemment legitime.

C'est a ce stade que la strategie de deception entre en jeu. Pour detourner l'attention et brouiller les pistes d'attribution, MuddyWater a introduit des elements caracteristiques du ransomware Chaos : notes de rancon, communications d'extorsion et artefacts visuels associes a ce ransomware-as-a-service (RaaS). Le message semblait clair pour les equipes de reponse aux incidents : il s'agissait d'une attaque ransomware classique, motivee financierement. Ce cadrage incite les defenseurs a se concentrer sur la recuperation et la negociation plutot que sur la recherche de mecanismes de persistance et d'exfiltration de donnees, precisement ce que MuddyWater cherchait a accomplir.

Les chercheurs de Rapid7 ont cependant identifie le pont technique qui a trahi le veritable auteur : le certificat de signature de code utilise pour valider les echantillons de malware deployes porte le nom Donald Gay, une ressource partagee connue et documentee dans l'arsenal de MuddyWater. Ce certificat a deja ete observe dans des operations anterieures du groupe, constituant une signature technique distinctive. De plus, le groupe a deploye un RAT personnalise baptise Darkcomp (fichier Game.exe) dont le domaine de commande et controle (C2) est egalement associe a des operations passees de MuddyWater selon les bases de donnees d'indicateurs de compromission (IoC) disponibles.

Cruciale est la constatation que MuddyWater n'a pas deploye le composant de chiffrement de fichiers du ransomware Chaos. Un vrai affilie du RaaS Chaos aurait chiffre les fichiers pour demander une rancon en echange de la cle de dechiffrement. Ici, le groupe s'est arrete avant cette etape, se contentant des elements de mise en scene tout en se concentrant sur ses vrais objectifs : reconnaissance du reseau, recolte de donnees et maintien d'un acces discret a long terme. L'absence de chiffrement est precisement ce qui a mis la puce a l'oreille des analystes de Rapid7 et permis de percer la supercherie.

Cette technique de false flag, utiliser l'identite visuelle d'un groupe cybercriminel connu pour masquer une operation etatique, n'est pas entierement nouvelle. Des acteurs comme APT28 (Fancy Bear) et le groupe Lazarus ont utilise des leurres similaires a des fins de deni plausible et de confusion d'attribution par le passe. Mais la sophistication de cette campagne MuddyWater, notamment l'usage de Teams pour l'acces initial et l'integration d'un RaaS commercial comme couverture operationnelle, marque une evolution notable dans les tactiques iraniennes documentees.

Une tactique qui redefinit les frontieres entre cybercriminalite et espionnage etatique

L'operation documentee par Rapid7 illustre une tendance de fond preoccupante : le brouillage delibere des frontieres entre acteurs etatiques et cybercriminels. Cette convergence n'est pas accidentelle, elle est strategique. En se faisant passer pour un groupe ransomware financierement motive, un etat-nation obtient plusieurs avantages simultanement : il retarde l'attribution correcte, oriente les ressources des defenseurs vers la reponse a un incident ransomware plutot que vers la chasse aux indicateurs d'espionnage, et brouille les analyses geopolitiques en creant une ambiguite sur la nature de l'attaque.

Cette strategie est d'autant plus efficace que le ransomware Chaos est un RaaS commercial disponible sur les forums cybercriminels, accessible a n'importe quel acteur malveillant. En utilisant des elements d'un service aussi largement distribue, MuddyWater rend l'attribution technique encore plus difficile : les artefacts observes pourraient legitimement appartenir a un affilie criminel quelconque. C'est precisement pourquoi l'identification du certificat Donald Gay et du C2 Darkcomp comme elements distinctifs de MuddyWater est si importante, ces marqueurs uniques ont permis de percer l'obfuscation et de retablir la verite de l'attribution.

Pour les equipes de reponse aux incidents, cet episode souligne l'importance de ne jamais se limiter a une seule hypothese d'attribution en debut d'enquete. La presence d'une note de rancon ou d'artefacts ransomware ne doit pas automatiquement orienter l'analyse vers un acteur financierement motive. Une approche methodique, examiner les certificats de signature, analyser les domaines C2, corroler avec les bases de donnees IoC des APT connus publiees par Mandiant, CrowdStrike, Palo Alto Unit 42 et Recorded Future, est indispensable pour ne pas tomber dans le piege de la mise en scene orchestree par un acteur etatique.

Du point de vue reglementaire, cet incident souleve des questions sur les obligations de notification. Si une organisation victime d'une telle attaque la classifie comme un incident ransomware ordinaire, les obligations et delais de notification aux autorites competentes, l'ANSSI en France, le BSI en Allemagne, le NCSC au Royaume-Uni, peuvent etre differents de ceux applicables a une attaque etatique documentee. Un mauvais classement peut conduire a une sous-declaration d'incidents a portee geopolitique, faussant l'analyse du renseignement sur les menaces au niveau national et europeen.

Ce qu'il faut retenir

• MuddyWater a utilise le ransomware Chaos comme leurre dans une operation d'espionnage iranienne : une tactique de false flag destinee a retarder l'attribution correcte et a detourner les defenseurs de la recherche de persistance.
• L'acces initial via Microsoft Teams et la manipulation du MFA par push notification abuse sont des techniques contre lesquelles une formation des utilisateurs et une politique stricte de validation des sessions Teams s'imposent en priorite.
• Face a tout incident presentant des caracteristiques ransomware, ne jamais exclure prematurement la piste etatique : des artefacts RaaS peuvent etre deliberement utilises comme camouflage par des groupes APT sophistiques.