MuddyWater tarnt Spionage als Ransomware : Iranische Hacker nutzen Microsoft Teams, Chaos-Masche und Fernzugriff

Die iranische staatlich unterstützte Hackergruppe MuddyWater, auch bekannt als Mango Sandstorm, Seedworm und Static Kitten, wird mit einem Angriff in Verbindung gebracht, der zunächst wie klassische Ransomware aussah. Nach Analysen von Rapid7 handelte es sich jedoch offenbar um eine gezielte Operation mit falscher Fährte: Die Täter nutzten Methoden und Marken aus dem kriminellen Erpressungsumfeld, verfolgten aber mutmaßlich ein strategisches staatliches Ziel.

Der Angriff wurde Anfang 2026 beobachtet. Auffällig war vor allem der Einstieg über Microsoft Teams. Die Angreifer kontaktierten Mitarbeiter über externe Chat-Anfragen, bauten Vertrauen auf und nutzten anschließend interaktive Bildschirmfreigaben. Rapid7 beschreibt die Kampagne als „hochgradig interaktive Social-Engineering-Phase über Microsoft Teams“, bei der Zugangsdaten abgegriffen und Mehrfaktor-Authentifizierung manipuliert wurden.

Fernzugriff statt klassischer Verschlüsselung

Zunächst sah der Vorfall wie ein Angriff der Ransomware-Gruppe Chaos aus. Im weiteren Verlauf zeigte sich jedoch ein anderes Bild. Bei typischen Ransomware-Angriffen verschlüsseln Täter möglichst viele Dateien, legen Systeme lahm und verlangen anschließend Lösegeld für die Entschlüsselung. Genau das passierte hier offenbar nicht.

Stattdessen konzentrierten sich die Angreifer darauf, Daten zu stehlen und möglichst lange Zugriff auf die Umgebung zu behalten. Dafür nutzten sie Fernwartungswerkzeuge wie DWAgent und AnyDesk. Solche Programme können auch legitim eingesetzt werden, etwa für IT-Support. In den Händen von Angreifern ermöglichen sie jedoch dauerhaften Zugriff, ohne sofort aufzufallen.

Rapid7 beschreibt diese Auffälligkeit deutlich: Die Angreifer hätten „traditionelle Ransomware-Abläufe umgangen“ und bewusst auf Dateiverschlüsselung verzichtet. Die Erpressung diente damit vermutlich nicht als Hauptzweck des Angriffs. Sie sollte eher den Eindruck einer gewöhnlichen Ransomware-Kampagne erzeugen, Verteidiger ablenken und den wahren Schwerpunkt verschleiern: Datendiebstahl, dauerhafte Kontrolle und verdeckte Präsenz im Netzwerk.

Diese Methode passt zu einer Entwicklung, die mehrere Sicherheitsunternehmen zuletzt beobachtet haben: MuddyWater greift zunehmend auf frei verfügbare oder im Untergrund gehandelte Werkzeuge zurück. Genannt werden unter anderem CastleRAT und Tsundere. Dadurch verschwimmen die Linien zwischen staatlicher Operation und krimineller Dienstleistung. Für Verteidiger erschwert das die Zuschreibung und verzögert passende Gegenmaßnahmen.

Die Chaos-Masche als glaubwürdige Tarnung

 Chaos trat Anfang 2025 als Ransomware-as-a-Service-Gruppe auf und warb in kriminellen Foren wie RAMP und RehubCom um Partner. Die Gruppe nutzt typischerweise eine Kombination aus E-Mail-Flutung, telefonischem Social Engineering und Microsoft Teams. Opfer werden oft als angeblicher IT-Support angesprochen und zur Installation von Fernzugriffswerkzeugen wie Microsoft Quick Assist gebracht.

Zum Geschäftsmodell gehören nicht nur Datenverschlüsselung und Datenveröffentlichung. Rapid7 zufolge droht Chaos auch mit Distributed-Denial-of-Service (DDoS)-Angriffen gegen die Infrastruktur der Opfer. Zusätzlich wurden Fälle beobachtet, in denen Kunden oder Wettbewerber kontaktiert werden sollten, um den Druck weiter zu erhöhen. Bis Ende März 2026 reklamierte Chaos 36 Opfer auf seiner Leak-Seite, überwiegend in den Vereinigten Staaten. Besonders betroffen waren Bauwirtschaft, Fertigung und Unternehmensdienstleistungen.

Für MuddyWater bietet eine solche Kulisse Vorteile. Wenn ein Angriff wie gewöhnliche Ransomware-Kriminalität aussieht, fällt der Verdacht zunächst auf finanzielle Motive: Daten verschlüsseln, Opfer unter Druck setzen, Lösegeld kassieren. Dadurch bleibt das mögliche staatliche Interesse im Hintergrund.

Check Point hatte dieses Muster bereits bei früheren Angriffen beschrieben. Demnach nutzen iranisch verbundene Akteure gezielt Strukturen aus der Cybercrime-Szene: bekannte Ransomware-Namen, Erpressungsmethoden, Partnerprogramme und Werkzeuge, die auch kriminelle Gruppen einsetzen. Nach außen wirkt der Angriff dadurch wie normale Cyberkriminalität. Tatsächlich kann er aber einem strategischen Ziel dienen, etwa Spionage, Sabotage oder politischem Druck.

Für die Angreifer hat das zwei Vorteile. Erstens können sie ihre Herkunft besser verschleiern und Verantwortung leichter abstreiten. Zweitens müssen sie nicht alle Fähigkeiten selbst entwickeln, sondern können vorhandene Werkzeuge, Zugänge und Methoden aus dem kriminellen Markt nutzen. Genau diese Mischung macht solche Angriffe für Verteidiger so schwer einzuordnen.

So lief der Angriff technisch ab

Im von Rapid7 untersuchten Fall begann der Angriff mit externen Microsoft-Teams-Nachrichten. Über Bildschirmfreigaben brachten die Täter Mitarbeiter dazu, Zugangsdaten preiszugeben und Authentifizierungsschritte auszuführen. Anschließend nutzten sie kompromittierte Benutzerkonten für Aufklärung, seitliche Bewegung im Netzwerk und Datendiebstahl. Erst danach wurde das Opfer per E-Mail für Lösegeldverhandlungen kontaktiert.

Während der Verbindung führten die Angreifer einfache Erkundungsbefehle aus, öffneten Dateien zur VPN-Konfiguration und wiesen Benutzer an, Zugangsdaten in lokal erzeugte Textdateien einzutragen. In mindestens einem Fall installierten sie zusätzlich AnyDesk, um den Zugriff zu stabilisieren.

Technisch auffällig war auch der Einsatz von Remote Desktop Protocol (RDP). Darüber wurde mit dem Werkzeug curl eine Datei namens „ms_upd.exe“ von einem externen Server heruntergeladen. Nach dem Start leitete diese Datei eine mehrstufige Infektionskette ein.

• ms_upd.exe, auch Stagecomp genannt, sammelt Systeminformationen und kontaktiert einen Command-and-Control-Server, um weitere Komponenten nachzuladen: game.exe, WebView2Loader.dll und visualwincomp.txt.
• game.exe, auch Darkcomp genannt, ist ein speziell entwickelter Fernzugriffstrojaner, der sich als legitime Microsoft-WebView2-Anwendung tarnt. Technisch handelt es sich um eine trojanisierte Version des offiziellen Microsoft-WebView2APISample-Projekts.
• WebView2Loader.dll ist eine legitime Bibliothek, die von ms_upd.exe heruntergeladen wird. Sie wird von Microsoft Edge WebView2 benötigt, um Webinhalte in Windows-Anwendungen einzubetten.
• visualwincomp.txt ist eine verschlüsselte Konfiguration, mit der der Fernzugriffstrojaner seine Command-and-Control-Informationen erhält.

Der Trojaner verbindet sich anschließend mit dem Steuerungsserver und fragt alle 60 Sekunden nach neuen Befehlen. Dadurch kann er Kommandos oder PowerShell-Skripte ausführen, Dateien bearbeiten und eine interaktive Eingabeaufforderung oder PowerShell-Sitzung starten.

Zertifikat führt zurück zu MuddyWater

Die Verbindung zu MuddyWater ergibt sich unter anderem aus einem Code-Signing-Zertifikat auf den Namen „Donald Gay“, mit dem ms_upd.exe signiert wurde. Dasselbe Zertifikat wurde bereits früher diesem Bedrohungscluster zugeschrieben, unter anderem bei Malware im Umfeld des Downloaders CastleLoader und der Komponente Fakeset.

Diese Spur ist deshalb relevant, weil der Rest des Angriffs bewusst nach gewöhnlicher Cyberkriminalität aussehen sollte. Rapid7 warnt, der Einsatz eines Ransomware-as-a-Service-Rahmens könne helfen, staatlich unterstützte Aktivität und finanziell motivierte Cyberkriminalität zu vermischen. Besonders gefährlich ist dabei, dass Verteidiger sich zunächst auf die sichtbare Erpressung konzentrieren und tieferliegende Persistenzmechanismen übersehen.

Regionale Eskalation im Hintergrund

Der Fall steht nicht isoliert. Hunt.io berichtete parallel über eine iranisch geprägte Operation gegen omanische Regierungsstellen. Auf einem offen erreichbaren Verzeichnis fanden sich Werkzeugpakete, Steuerungscode, Sitzungsprotokolle und abgeflossene Daten. Betroffen waren demnach unter anderem mehr als 26.000 Benutzerdatensätze des Justizministeriums, Falldaten, Ausschussentscheidungen sowie Registrierungsdatenbanken.

Zugleich beanspruchten proiranische Hacktivistengruppen wie Handala Hack weitere Aktionen für sich, darunter die Veröffentlichung von Daten zu fast 400 Angehörigen der United States Navy im Persischen Golf und einen Angriff auf den Hafen von Fujairah in den Vereinigten Arabischen Emiraten. Sergey Shykevich von Check Point Research ordnete dies als Eskalation ein: „Die Cyber- und die kinetische Domäne sind nun ausdrücklich miteinander verbunden.“

Für Unternehmen ist die Lehre nüchtern: Social Engineering über Kollaborationsplattformen, Fernwartungswerkzeuge und scheinbare Ransomware-Spuren müssen zusammen bewertet werden. Wer nur nach Verschlüsselung sucht, übersieht möglicherweise den eigentlichen Angriff: Zugangsdiebstahl, Spionage, Persistenz und strategische Täuschung.

Weitere Artikel zum Thema:

Eskalation am Vormittag