Pidieron que encendieran la pantalla y consiguieron acceso a la red: espías iraníes se infiltraron en chats corporativos — y funcionó.
Analizamos paso a paso la nueva táctica de los hackers iraníes.
Hackers iraníes comenzaron a encubrir operaciones de espionaje haciéndolas pasar por ataques con el ransomware Chaos. Expertos notaron la nueva táctica cuando investigaban una intrusión que al principio parecía un ataque común de rescate, pero que luego dejó rastros vinculados al grupo iraní MuddyWater.
Los hallazgos fueron reportados por especialistas de Rapid7. Según Rapid7, el uso de Chaos ayuda a ocultar los objetivos reales de los ataques y dificulta identificar a los organizadores. MuddyWater se vincula con el Ministerio de Inteligencia y Seguridad Nacional de Irán. Los expertos consideran que en los últimos meses MuddyWater ha incrementado su actividad contra organizaciones en Oriente Medio y en países occidentales. El objetivo principal de esas operaciones es el ciberespionaje y la preparación para posibles ataques destructivos contra infraestructura.
En el caso investigado, los atacantes accedieron a la red de la empresa a través de Microsoft Teams. Enviaban a los empleados solicitudes de conversación externas, tras lo cual trasladaban el intercambio a un chat privado. Luego los hackers convencían a la víctima de activar la compartición de pantalla, accedían a archivos con configuraciones de VPN y solicitaban que ingresara credenciales.
Una vez dentro del sistema, los atacantes instalaron una herramienta de control remoto para afianzarse en la red. Pasado un tiempo, empleados de la empresa empezaron a recibir correos con amenazas de publicar datos robados si la organización no pagaba un rescate. El propio esquema de extorsión parecía poco convincente; sin embargo, más tarde los hackers sí publicaron los datos sustraídos. Representantes de la empresa afectada confirmaron la autenticidad de la filtración.
La ausencia de cifrado de archivos, que los operadores de ransomware suelen aplicar, despertó sospechas entre los especialistas. Al analizar la infraestructura y el malware, los expertos hallaron herramientas y certificados característicos de operaciones de MuddyWater. Parte de los servidores empleados en el ataque ya habían aparecido en otra campaña de MuddyWater dirigida contra organizaciones en Oriente Medio y el Norte de África.
Chaos apareció en febrero de 2025. Especialistas en ciberseguridad consideran que el proyecto fue creado por antiguos miembros de los grupos cerrados BlackSuit y Royal. Según Rapid7, hackers iraníes cada vez más encubren espionaje o sabotajes con ransomware.
Anteriormente, MuddyWater ya había sido vinculada con el ecosistema de ransomware Qilin tras un ataque a una organización israelí. Esa investigación también condujo a los servicios de inteligencia iraníes. Los especialistas suponen que la transición a la marca Chaos reduce el riesgo de atribución directa de los ataques a Irán. En el contexto del deterioro de las relaciones entre Irán y Estados Unidos, los expertos registraron un aumento de la ciberactividad por parte de grupos iraníes. En los últimos meses, los hackers han utilizado el ransomware Pay2Key contra una organización médica estadounidense, y también atacaron a un gran fabricante de equipos médicos.