MuddyWater : l'APT iranien recrute via Teams sous fausse bannière Chaos

Les faits

Le centre de recherche Rapid7 a publié le 6 mai 2026 une analyse détaillée d'une campagne d'intrusion attribuée à MuddyWater, groupe APT iranien également connu sous les alias Mango Sandstorm chez Microsoft, Seedworm chez Symantec ou Static Kitten chez CrowdStrike, actif depuis 2017 sous mandat du ministère iranien du renseignement et de la sécurité (MOIS). La particularité de cette opération : se déguiser en attaque ransomware opportuniste sous la marque Chaos pour masquer un objectif d'espionnage stratégique. Les chercheurs qualifient l'opération de fausse bannière, ou false flag, et la documentent depuis le premier trimestre 2026.

La chaîne d'attaque commence par un canal inattendu : un message non sollicité reçu sur Microsoft Teams. Les attaquants exploitent la fonctionnalité Teams External Access activée par défaut sur de nombreux tenants, qui permet à un compte Microsoft 365 externe d'envoyer un chat à un utilisateur interne sans qu'il existe de relation préalable entre les organisations. MuddyWater envoie ces messages depuis des tenants compromis ou créés sur des domaines look-alike, en se faisant passer pour des consultants IT, des prestataires de support ou des collègues d'autres branches.

Une fois la conversation engagée, l'opérateur initie une session de partage d'écran, autorisée par Teams sans alerte de sécurité spécifique. Pendant le partage, l'attaquant observe directement le bureau de la victime et lui dicte des commandes à exécuter, prétextant un dépannage ou une vérification de configuration. Les commandes typiques relevées par Rapid7 incluent ipconfig /all, whoami, net start, et la création de fichiers texte locaux. Le moment clé : l'utilisateur est invité à saisir manuellement ses identifiants dans des fichiers nommés credentials.txt ou cred.txt, sous prétexte d'une vérification, et à ajouter un appareil contrôlé par l'attaquant à sa configuration MFA via le portail Microsoft.

Cette dernière étape est centrale : l'ajout d'un device MFA par l'utilisateur lui-même contourne la majorité des défenses de phishing. Aucun lien malveillant à cliquer, aucune fenêtre OAuth suspecte, aucun email à analyser : la victime exécute volontairement l'opération depuis son interface Microsoft légitime, pendant que l'attaquant la guide en partage d'écran. Une fois le device MFA additionnel enregistré, MuddyWater dispose d'un accès persistant au compte cloud de la victime, indépendant du téléphone de l'utilisateur.

L'aspect false flag intervient ensuite. Sur les machines compromises, les attaquants déposent des artefacts publics du ransomware Chaos : note de rançon, exécutable de chiffrement, modifications de fond d'écran. Mais selon Rapid7, le chiffrement de fichiers n'est jamais effectivement déclenché. Les artefacts sont placés pour égarer l'analyse forensique post-incident vers un cybercrime opportuniste, alors que l'opération réelle vise l'exfiltration discrète et la persistance pour des objectifs de renseignement. Les cibles documentées incluent des organisations gouvernementales et industrielles au Moyen-Orient, en Israël, en Arabie Saoudite et en Europe.

Cette technique illustre une tendance préoccupante : la convergence opérationnelle entre cybercrime et espionnage d'État. En 2024 et 2025, plusieurs APT iraniens, nord-coréens et russes ont commencé à utiliser des leurres ransomware non fonctionnels pour camoufler des opérations de longue durée. L'avantage tactique est double : l'équipe SOC qui pense gérer un incident ransomware standard mobilise son énergie sur la restauration et néglige l'investigation forensique approfondie qui révélerait l'accès persistant, et la victime communique publiquement sur une attaque criminelle plutôt que sur une compromission étatique, ce qui réduit la pression diplomatique sur l'acteur réel.

L'utilisation de Microsoft Teams comme canal d'entrée n'est pas isolée : Rapid7 corrèle cette campagne avec une vague plus large d'abus de Teams External Access observée par CrowdStrike, Mandiant et Microsoft elle-même depuis fin 2025. Le constructeur de Redmond a publié plusieurs avis recommandant de désactiver l'accès externe par défaut et de filtrer strictement les domaines autorisés, mais une majorité de tenants Microsoft 365 conservent la configuration permissive d'origine.

Impact et exposition

Toute organisation utilisant Microsoft 365 avec Teams External Access activé est exposée à ce vecteur d'entrée. L'attaque ne nécessite aucune vulnérabilité technique : elle exploite la confiance et le manque de formation des utilisateurs face à des sollicitations sur un canal perçu comme interne. Les organisations dans les secteurs ciblés par MuddyWater — défense, énergie, télécoms, recherche, gouvernement — sont à risque immédiat, mais la technique est généralisable et déjà reprise par d'autres groupes APT et même par certains affiliés ransomware.

Recommandations

• Désactiver Teams External Access par défaut dans le centre d'administration Microsoft 365, et n'autoriser que les domaines partenaires explicitement listés dans une allowlist.
• Bloquer la fonctionnalité de partage d'écran par utilisateur externe via la politique Teams Meeting Policy, ou la limiter aux organisations fédérées.
• Former les utilisateurs : aucun support IT légitime ne demande de saisir des credentials dans un fichier texte ou d'ajouter un device MFA en partage d'écran. Communiquer en interne sur ce point.
• Auditer les ajouts de devices MFA des 90 derniers jours via l'Audit Log Microsoft Purview, en cherchant les ajouts coïncidant temporellement avec une session Teams externe.
• Sur incident, ne pas se contenter d'effacer les artefacts Chaos. Lancer une investigation forensique complète pour identifier les accès cloud persistants, les tokens OAuth émis et les exports de données via Graph API.