MuddyWater se déguise en Chaos ransomware via Teams

Ce qui s'est passé

Mercredi 6 mai 2026, les équipes de threat intelligence de Rapid7 ont publié un rapport détaillé attribuant une campagne récente du ransomware Chaos au groupe étatique iranien MuddyWater, connu également sous les noms Mango Sandstorm, Seedworm et Static Kitten. La particularité de cette opération est qu'elle ne ressemble en rien à un déploiement classique de ransomware : derrière la façade extorsion-chiffrement se cache une campagne d'espionnage menée par un acteur affilié au ministère iranien du Renseignement (MOIS).

Le scénario d'intrusion observé par Rapid7 commence systématiquement par une campagne d'ingénierie sociale très ciblée, conduite via Microsoft Teams. Les attaquants se font passer pour des personnels du support informatique de la victime, contactent un employé via un compte Teams compromis ou usurpé, puis lancent une session de partage d'écran. Pendant cette phase à fort contact humain, ils incitent la victime à exécuter des commandes, à saisir ses identifiants dans une fausse interface Microsoft Quick Assist, ou à les copier-coller dans des fichiers texte locaux nommés credentials.txt et cred.txt.

Une fois les credentials capturés, les attaquants demandent à la victime d'ajouter un appareil sous leur contrôle à la configuration MFA du compte. Cette étape, particulièrement vicieuse, leur garantit un accès persistant même après une rotation de mot de passe ou la fermeture de session, et leur permet de contourner toute politique d'accès conditionnel basée sur des appareils approuvés. La technique exploite directement la confiance que les utilisateurs accordent à un appel Teams interne, et la familiarité du flux d'ajout d'appareil dans Microsoft Authenticator.

L'originalité de la campagne tient à son enrobage. Une fois la phase de reconnaissance et d'exfiltration terminée, les attaquants déploient le ransomware Chaos sur certaines machines, puis publient les victimes sur le site de fuite associé à ce groupe. Selon Rapid7, cette mise en scène vise à orienter l'attribution vers la cybercriminalité ordinaire et à dissimuler la nature étatique de l'opération. À la fin mars 2026, le site Chaos revendiquait 36 victimes, majoritairement basées aux États-Unis, dans des secteurs comme la construction, l'industrie manufacturière et les services aux entreprises — des cibles dont l'intérêt pour le renseignement iranien dépasse largement la valeur d'une rançon.

Les éléments techniques qui ont permis l'attribution sont multiples : un certificat de signature de code spécifique réutilisé entre plusieurs campagnes attribuées à MuddyWater, une infrastructure de commande et contrôle (C2) dont les empreintes correspondent à des opérations antérieures du groupe, et des chevauchements dans les TTP (techniques, tactiques, procédures) tels que documentés par BleepingComputer et SecurityWeek le 5 mai. Rapid7 conclut avec une confiance modérée que Chaos n'est pas un véritable groupe RaaS opportuniste, mais un masque opérationnel utilisé par un acteur étatique.

Cette campagne s'inscrit dans une évolution plus large des opérations cyber iraniennes. Depuis 2024, MuddyWater a multiplié les campagnes de phishing contre des entreprises de défense, des cabinets de conseil et des fournisseurs de services managés. L'adoption d'un modèle d'ingénierie sociale via Teams représente toutefois une rupture méthodologique : la sophistication de l'interaction humaine et la qualité de l'anglais utilisé suggèrent soit un investissement important dans la formation des opérateurs, soit l'utilisation d'outils d'IA générative pour fluidifier la conversation en temps réel.

Microsoft, contacté par plusieurs publications spécialisées, n'a pas commenté directement la campagne MuddyWater mais a rappelé que les organisations peuvent restreindre les communications Teams aux seuls domaines fédérés autorisés via les paramètres External Access. Cette mesure, encore peu déployée en pratique, est désormais identifiée par les équipes Rapid7 comme une contre-mesure essentielle face à ce type d'intrusion.

Pour les RSSI, la combinaison phishing-Teams + abus de Quick Assist + ajout d'appareil MFA constitue une chaîne d'attaque qui contourne la quasi-totalité des contrôles techniques traditionnels. Les EDR ne déclenchent rien, l'antispam ne voit rien, et les politiques d'accès conditionnel valident un appareil que la victime elle-même vient d'enrôler. Seules une formation continue, une politique stricte d'autorisation des appareils MFA, et une supervision active des journaux d'ajout de méthode d'authentification dans Entra ID permettent de détecter ce schéma à temps.

Pourquoi c'est important

L'utilisation d'un faux drapeau ransomware par un groupe étatique brouille profondément la grille de lecture des incidents. Lorsqu'une équipe de réponse à incident découvre une note de rançon Chaos, elle est tentée de classer l'affaire en cybercriminalité opportuniste, d'engager une négociation, voire de payer. Cette analyse erronée détourne les ressources de la véritable question : quelles données ont été exfiltrées, à qui, et pour quel objectif géopolitique ? Pour une entreprise française intervenant dans la défense, l'énergie ou la chimie, la différence entre extorsion classique et espionnage iranien dicte des actions juridiques, diplomatiques et techniques radicalement différentes.

La technique d'abus de Microsoft Teams est en train de devenir un standard offensif. Le rapport DBIR 2025 de Verizon, le rapport M-Trends de Mandiant et les bulletins du CERT-FR convergent sur un point : les outils de collaboration sont devenus une surface d'attaque majeure, parce qu'ils contournent les filtres email tout en bénéficiant de la même confiance utilisateur. Storm-1811, Octo Tempest, Black Basta et désormais MuddyWater utilisent tous des variantes du même mode opératoire. Les organisations qui n'ont pas durci leur configuration External Access et leur politique Quick Assist accumulent une dette de sécurité critique.

Le timing de la campagne est également significatif. Selon les analystes, MuddyWater intensifie ses opérations à chaque pic de tensions régionales impliquant l'Iran. Les cibles industrielles américaines et européennes recensées par Chaos correspondent à des chaînes d'approvisionnement stratégiques pour la défense ou l'énergie. Les opérateurs essentiels au sens de NIS2, et plus encore les opérateurs d'importance vitale (OIV) en France, doivent considérer cette menace comme un risque actuel, et adapter leurs scénarios de Threat Hunting en conséquence.

Enfin, l'affaire pose un problème d'attribution publique. Si une victime publie un communiqué attribuant son incident à un ransomware criminel alors qu'il s'agissait d'une opération étatique, elle s'expose à un risque réputationnel et juridique majeur le jour où la véritable nature de l'incident est révélée. La capacité à attribuer correctement, dès la phase de réponse à incident, devient une compétence stratégique qui dépasse le seul périmètre technique de la SOC.

Ce qu'il faut retenir

• MuddyWater (Iran, MOIS) opère sous le couvert du ransomware Chaos pour masquer une campagne d'espionnage ciblant l'industrie américaine.
• Vecteur d'entrée : ingénierie sociale via Microsoft Teams, faux Quick Assist, vol de credentials puis ajout d'appareil MFA contrôlé par l'attaquant.
• Restreindre l'External Access Teams, durcir Quick Assist et superviser activement les ajouts de méthode MFA dans Entra ID sont les contre-mesures prioritaires.