MuddyWater : Teams et faux ransomware Chaos pour masquer l'espionnage iranien

Les faits

Les chercheurs de Rapid7 ont publié début mai 2026 une analyse détaillée d'une intrusion initialement attribuée à un groupe de ransomware-as-a-service opérant sous la bannière Chaos, et qui s'est révélée être une opération d'espionnage sophistiquée conduite par MuddyWater. Ce groupe APT, attribué par Microsoft, Mandiant et les agences de renseignement américaines et britanniques aux services de renseignement iraniens (MOIS — Ministry of Intelligence and Security), opère depuis 2017 avec un focus sur les secteurs gouvernementaux, la défense, l'énergie et les télécommunications.

L'intrusion a débuté par une phase d'ingénierie sociale à haute intensité menée directement via Microsoft Teams. Les acteurs de MuddyWater ont contacté des employés de l'organisation cible sur Teams, se faisant passer pour du support technique ou des partenaires légitimes. Lors d'appels Teams, ils ont demandé à partager l'écran des victimes sous prétexte de résoudre un problème technique. Durant ces sessions de partage d'écran, les attaquants ont observé et capturé en temps réel les credentials saisis, les tokens d'authentification, et les interactions avec les systèmes MFA de l'organisation — notamment les codes TOTP générés sur les téléphones des victimes et les validations push sur les applications d'authentification.

Cette manipulation de la MFA par observation directe via screen sharing est particulièrement insidieuse : elle contourne toutes les solutions MFA basées sur une validation utilisateur (TOTP, SMS, notifications push), sans nécessiter d'exploit technique. La seule protection efficace contre ce vecteur est une MFA phishing-resistant de type FIDO2 (clés de sécurité hardware comme YubiKey) ou des certificats clients, où l'utilisateur ne peut pas "montrer" le facteur d'authentification à un tiers.

Une fois un pied dans le réseau, les attaquants ont déployé des outils de téléadministration légitimes — AnyDesk et DWAgent — pour maintenir un accès persistant discret. Ces outils sont fréquemment utilisés dans les entreprises et génèrent peu d'alertes dans les SIEM qui ne surveillent pas explicitement leur déploiement non autorisé. C'est une technique caractéristique de MuddyWater, qui privilégie depuis ses premières campagnes le "living off the land" : utiliser des outils légitimes présents ou installables sur les systèmes pour minimiser les artefacts malveillants détectables par les antivirus et EDR.

La phase suivante a impliqué le déploiement de ms_upd.exe, un binaire signé avec un certificat attribué à l'entité "Donald Gay". Ce certificat est un marqueur clé dans l'attribution à MuddyWater : il avait déjà été utilisé par le groupe pour signer CastleLoader, aussi connu sous le nom Fakeset, un downloader documenté dans les précédentes campagnes 2024-2025 du groupe. ms_upd.exe a servi de dropper pour télécharger et exécuter Game.exe, un Remote Access Trojan (RAT) personnalisé permettant la persistance, le contrôle à distance et l'exfiltration de données depuis les machines compromises.

C'est lors de la phase finale qu'intervient le ransomware Chaos, déployé de manière délibérément visible. Chaos est un builder ransomware disponible dans les milieux cybercriminels depuis 2021, permettant de créer des exécutables de chiffrement personnalisés. MuddyWater a utilisé Chaos pour chiffrer des données sur les systèmes compromis et déposer des notes de rançon. Pour les équipes de réponse à incident appelées en urgence, le tableau initial ressemblait parfaitement à une attaque ransomware classique d'un groupe cybercriminel financièrement motivé. L'objectif de cette mise en scène est double : détourner l'attention sur l'aspect extorsion financière et masquer la durée réelle de présence de MuddyWater dans le réseau — les données avaient déjà été exfiltrées avant le déclenchement du ransomware.

L'analyse forensique approfondie de Rapid7 a permis de déconstruire ce récit. L'examen des artefacts malveillants, des certificats de signature de code, des infrastructures de command and control (C2), et des tactiques, techniques et procédures (TTPs) employés révèle une cohérence totale avec les campagnes précédentes de MuddyWater documentées par Microsoft (Mango Sandstorm), Mandiant (UNC3890), et les alertes conjointes des agences CISA, NSA, FBI, NCSC (UK) publiées depuis 2022.

L'utilisation de Teams comme vecteur d'ingénierie sociale représente une évolution notable des TTPs de MuddyWater. Teams est perçu par de nombreux utilisateurs comme un canal interne de confiance, distinct de la messagerie externe suspecte. Un message reçu sur Teams d'un interlocuteur affichant un nom et une photo de profil convaincants, associé à une organisation apparemment légitime, bénéficie d'un niveau de confiance implicite supérieur à un email externe. Les formations anti-phishing classiques, centrées sur les emails, ne préparent pas les utilisateurs à cette menace.

Impact et exposition

Les organisations les plus exposées utilisent Microsoft Teams avec la communication externe activée (possibilité pour des contacts hors-organisation de contacter des employés). Les secteurs historiquement ciblés par MuddyWater — gouvernement, défense, énergie, télécommunications, technologie — doivent considérer ce vecteur comme actif en 2026. La manipulation MFA par observation fonctionne contre toute solution MFA non phishing-resistant. Les environnements hybrides Microsoft 365 avec identités Azure AD synchronisées depuis un Active Directory on-premises sont particulièrement prisés pour la latéralisation post-intrusion.

Recommandations

• Restreindre dans les paramètres Microsoft Teams les interactions avec des utilisateurs externes non vérifiés : désactiver la communication avec des inconnus ou imposer une liste blanche de domaines partenaires autorisés (admin.teams.microsoft.com > Accès externe)
• Former les équipes à ne jamais partager leur écran sur Teams avec un interlocuteur non préalablement vérifié par un canal secondaire — aucun support IT légitime ne demande de screen sharing non sollicité
• Migrer vers une MFA phishing-resistant (clés FIDO2, Windows Hello for Business, certificats clients) sur les accès VPN, RDP, portails métier et Microsoft 365 — les TOTP et push sont contournables par observation
• Surveiller les déploiements non autorisés d'outils de téléadministration (AnyDesk, DWAgent, TeamViewer, ScreenConnect) : créer des alertes SIEM sur leur installation ou première exécution depuis des profils utilisateurs standards
• En cas d'incident apparemment ransomware, ne pas conclure prématurément à un groupe cybercriminel : mandater une analyse forensique complète pour écarter une opération APT sous fausse bannière — le ransomware peut être une diversion