「攻击者通过微软团队发起社交工程,用屏幕共享骗取凭证并绕过多重验证。」——Rapid7报告
2026年初,安全公司Rapid7发现一起蹊跷的勒索攻击。表面看是Chaos勒索团伙所为,深入调查后却指向伊朗国家背景的黑客组织MuddyWater。这不是简单的栽赃嫁祸,而是一场精心设计的"假旗行动"。
一个人:MuddyWater的伪装术
MuddyWater有多个别名:Mango Sandstorm、Seedworm、Static Kitten。这个伊朗国家支持的黑客组织,正在改变传统国家攻击者的打法。
他们的新策略是:混入网络犯罪生态,用现成的勒索软件品牌作掩护。Rapid7观察到的这次攻击,全程使用微软团队(Microsoft Teams)进行社交工程——先建立信任,再屏幕共享骗取凭证,最后绕过多重验证(MFA)潜入系统。
但进入内网后,攻击者做了件反常的事:没有加密文件。
传统勒索软件的核心是加密索赎。MuddyWater却跳过这一步,直接窃取数据,并植入远程管理工具DWAgent保持长期潜伏。这种"勒索外壳+间谍内核"的组合,暴露了真实意图——不是求财,是情报收集。
一套逻辑:假旗行动的三层设计
MuddyWater的伪装不是临时起意,而是系统性工程。
第一层,工具层。他们大量使用地下市场流通的现成工具:CastleRAT、Tsundere等。Ctrl-Alt-Intel、Broadcom、Check Point、JUMPSEC等多家安全公司近月都记录了这一趋势。用犯罪工具做国家攻击,天然模糊归因。
第二层,身份层。这次攻击冒用的Chaos品牌,是2025年初崛起的勒索即服务(RaaS)团伙,以双重勒索模式在RAMP、RehubCom等网络犯罪论坛招募 affiliate。Chaos的典型手法是邮件轰炸+语音钓鱼(vishing)+团队渗透。MuddyWater模仿得惟妙惟肖。
第三层,战略层。Check Point今年3月的分析一针见血:「攻击者很可能是伊朗关联的操作人员,通过网络犯罪生态系统运作,使用犯罪勒索品牌和方法,同时服务于伊朗的战略目标。」
用Qilin勒索软件及其 affiliate 计划,不仅提供掩护和合理推诿,更是务实的操作赋能——尤其是此前攻击已引起以色列当局加强安全监控之后。
一条时间线:从破坏性攻击到精密伪装
MuddyWater的勒索攻击史,本身就是一部战术进化史。
2020年9月,他们针对以色列知名机构,使用PowGoop加载器部署Thanos勒索软件的破坏性变种。这是早期阶段:国家攻击者直接操刀,工具自制,目标明确。
2023年,微软披露MuddyWater与DEV-1084合作。后者使用DarkBit身份,以勒索为幌子实施破坏性攻击。战术升级:开始借用他人身份。
2025年10月,疑似使用Qilin勒索软件攻击以色列政府医院。此时已完全融入RaaS生态。
2026年初的Chaos假旗事件,是这套方法的成熟应用。从自制工具到借用品牌,从直接破坏到长期潜伏,从单兵作战到生态嵌入——每一步都在降低被发现、被归因的风险。
一个判断:这对防御意味着什么
这件事的核心启示在于:国家攻击者与网络犯罪的边界正在消失。
对企业安全团队来说,勒索软件不再是"给钱消灾"的单纯犯罪问题。当MuddyWater这样的组织学会用Chaos的面具活动,每一次勒索攻击都需要多一层审视——攻击者真的只为钱吗?数据是否已被外传?系统里是否还埋着持久化后门?
Rapid7发现的细节值得反复琢磨:屏幕共享骗取凭证、绕过MFA、跳过加密直接窃取数据、植入DWAgent。这套流程的终点不是赎金谈判,而是持续情报收集。
防御策略需要相应调整。勒索响应 playbook 要加入国家攻击视角:重点不只是恢复加密文件,而是排查数据外泄痕迹和持久化威胁。团队渗透的入口管控需要强化——微软团队这类协作工具,已成为高价值攻击通道。
attribution 变得更难,但攻击者的目标不会说谎。当"勒索"只是外壳,真正的伤害往往在赎金之外。
热门跟贴