MuddyWater usa Microsoft Teams para roubo de credenciais em intrusão com fachada de ransomware

A campanha combinou engenharia social interativa, manipulação de MFA, ferramentas remotas legítimas e um RAT assinado com certificado já associado ao grupo para exfiltrar dados sem etapa confirmada de criptografia.

Componente	Microsoft Teams como canal de engenharia social, contas corporativas comprometidas, ferramentas `DWAgent` e `AnyDesk`, binário `ms_upd.exe` e RAT `game.exe`.
Vetor	Solicitações externas de chat no Teams, sessões de compartilhamento de tela, indução de usuários a fornecer credenciais e manipulação de MFA antes da instalação de ferramentas de acesso remoto.
Impacto	Acesso interativo ao ambiente, reconhecimento interno, persistência, movimentação lateral e exfiltração de dados, com uso de artefatos de ransomware como cobertura operacional.
Prioridade	Restringir comunicação externa no Teams, revisar eventos de MFA, caçar execução de `ms_upd.exe`, bloquear infraestrutura observada e auditar uso não autorizado de ferramentas remotas.
Artefatos	`ms_upd.exe`, também tratado como `Stagecomp`; `game.exe`, também tratado como `Darkcomp`; `WebView2Loader.dll`; `visualwincomp.txt`; certificado de assinatura em nome de `Donald Gay`.
IoCs	`172.86.126[.]208` associado ao download de `ms_upd.exe` via `curl`; `172.86.76[.]127` expôs conteúdo relacionado a uma operação contra instituições governamentais de Omã.

Resumo técnico

Uma intrusão observada no início de 2026 usou o Microsoft Teams como ponto inicial de contato para executar uma operação de engenharia social com alta interação humana. O operador iniciou conversas externas com funcionários, conduziu sessões de compartilhamento de tela e orientou ações que permitiram coletar credenciais e contornar controles de autenticação multifator. A sequência não seguiu o padrão completo de um ataque comum de ransomware com criptografia de arquivos em larga escala; o comportamento confirmado concentrou-se em acesso persistente, reconhecimento, uso de ferramentas remotas e exfiltração de dados.

A operação foi construída para se parecer com atividade de extorsão vinculada ao ecossistema de ransomware Chaos, mas os artefatos e a infraestrutura apontam para uma campanha direcionada associada ao conjunto de ameaças MuddyWater. O uso de ferramentas disponíveis no mercado criminoso, de marcas de ransomware conhecidas e de utilitários administrativos legítimos aumenta a ambiguidade de atribuição, porque mistura técnicas de crime financeiro com objetivos compatíveis com espionagem e pressão estratégica. Para defesa, o ponto crítico é tratar o caso como intrusão interativa orientada por identidade, não apenas como execução de malware no endpoint.

O fluxo analisado mostra que a comunicação inicial pelo Teams foi suficiente para levar usuários a entregar controle operacional ao atacante. Depois do primeiro acesso, contas comprometidas foram usadas para reconhecimento, consulta de arquivos ligados à configuração de VPN, instalação de DWAgent e AnyDesk, movimentação interna e contato posterior para negociação de resgate. A ausência de criptografia confirmada, mesmo com presença de artefatos associados a ransomware, sugere que a extorsão funcionou como fachada ou pressão adicional, enquanto a coleta de dados e a permanência no ambiente tiveram papel central.

Fluxo técnico

A cadeia começou com solicitações externas de chat no Microsoft Teams. Esse vetor é relevante porque muitas organizações permitem federação ou comunicação com domínios externos para colaboração com parceiros, suporte e fornecedores. O atacante explorou essa abertura para personificar suporte técnico ou outro papel de confiança e conduzir uma interação em tempo real. Durante o compartilhamento de tela, o operador observou o ambiente da vítima, guiou a digitação de credenciais e interferiu no processo de autenticação multifator, reduzindo a efetividade de controles que dependem de aprovação humana sem validação contextual forte.

Com uma sessão válida ou uma conta já comprometida, o operador executou comandos básicos de descoberta e acessou arquivos relacionados à configuração de VPN. Esse estágio permite mapear caminhos de acesso, nomes de servidores, padrões de autenticação e possíveis rotas para movimentação lateral. Em pelo menos uma etapa, a vítima foi instruída a inserir credenciais em arquivos de texto criados localmente, o que transforma o próprio endpoint do usuário em ponto de coleta. A instalação de AnyDesk e o uso de DWAgent forneceram persistência interativa e capacidade de retorno, reduzindo a dependência de sessões iniciais do Teams.

Outro trecho da operação envolveu RDP e o utilitário curl para baixar ms_upd.exe a partir de 172.86.126[.]208. O nome do arquivo tenta se aproximar de uma atualização da Microsoft, mas o comportamento atribuído a ele é de primeiro estágio. O binário coleta informações do sistema e busca componentes adicionais: game.exe, WebView2Loader.dll e visualwincomp.txt. O arquivo WebView2Loader.dll é uma DLL legítima necessária para aplicações baseadas no Microsoft Edge WebView2, enquanto visualwincomp.txt contém configuração criptografada usada pelo RAT para obter dados de comando e controle.

game.exe, também identificado como Darkcomp, é um RAT personalizado que se disfarça como aplicação baseada em Microsoft WebView2 e deriva de um projeto legítimo de exemplo. Após iniciado, ele se comunica com o servidor de comando e controle e entra em um laço de consulta periódica a cada 60 segundos. As capacidades descritas incluem execução de comandos, execução de scripts PowerShell, operações sobre arquivos e abertura de shells interativos cmd.exe ou PowerShell. Essas funções bastam para coleta de dados, implantação de ferramentas adicionais, movimentação lateral assistida e manutenção de presença sem depender de criptografia de arquivos.

O vínculo com MuddyWater é reforçado pelo uso de um certificado de assinatura de código em nome de Donald Gay para assinar ms_upd.exe. Esse mesmo certificado já havia sido associado a malware do cluster, incluindo o downloader Fakeset relacionado ao CastleLoader. A assinatura não torna o binário confiável por si só, mas pode reduzir atrito operacional em ambientes com validações superficiais de reputação, permitir execução com menos alertas e criar uma aparência de software empacotado de forma profissional.

Superfície afetada

A superfície exposta inclui organizações que permitem comunicação externa no Teams sem controles rígidos de domínio, sem banners claros de usuário externo e sem bloqueios para sessões de suporte não autorizadas. O risco aumenta quando funcionários conseguem aprovar solicitações de MFA sem verificação de origem, quando a equipe de suporte usa ferramentas remotas semelhantes às abusadas pelo atacante e quando não há inventário de aplicações de acesso remoto permitidas. Nesses cenários, a engenharia social deixa poucos sinais de exploração técnica tradicional e aparece como sequência de ações iniciadas por usuário legítimo.

Ambientes Windows com RDP habilitado, PowerShell disponível, curl presente no sistema e permissão para execução de binários baixados da internet formam a superfície técnica posterior ao acesso inicial. A cadeia também afeta equipes que dependem de VPN com arquivos de configuração acessíveis ao usuário final, porque esses arquivos podem expor nomes de gateways, perfis, certificados locais, métodos de autenticação e pistas sobre segmentação. Contas com acesso a compartilhamentos internos, repositórios de documentos, sistemas de negócio e consoles administrativos ampliam o impacto da exfiltração.

O contexto operacional também envolve grupos e marcas de ransomware usados como cortina de fumaça. Chaos apareceu como referência de extorsão, enquanto atividades anteriores relacionadas a operadores iranianos envolveram personas e famílias como DarkBit, Qilin, Thanos, PowGoop, CastleRAT e Tsundere. Esses nomes não devem ser usados isoladamente como prova de autoria. Para analistas, a superfície relevante é a combinação entre interação via Teams, ferramentas remotas legítimas, binários assinados com histórico de uso pelo cluster e ausência de criptografia apesar da narrativa de ransomware.

Tenants Microsoft 365 com chat externo no Teams habilitado para domínios não confiáveis.
Estáções Windows onde usuários conseguem instalar ou executar AnyDesk, DWAgent ou binários baixados por curl.
Contas com MFA baseado em aprovação simples, sem número de verificação, contexto de localização ou políticas de risco.
Ambientes com RDP acessível internamente e baixa visibilidade sobre sessões administrativas laterais.
Diretórios de usuário contendo perfis de VPN, arquivos de configuração, documentos sensíveis ou credenciais armazenadas de forma insegura.

Hunting e telemetria

A caça deve começar pela identidade e pelo Teams, porque a fase inicial pode não gerar indicadores clássicos de malware. Eventos de mensagens externas, chamadas, compartilhamento de tela e criação de sessões com usuários fora da organização devem ser correlacionados com aprovações de MFA, novos dispositivos, alterações de localização e mudanças bruscas de endereço IP. O padrão mais forte é a proximidade temporal entre contato externo no Teams, autenticação anômala, acesso a recursos internos e instalação de ferramenta remota.

No endpoint, procure criação de arquivos de texto contendo credenciais, execução de curl para endereços externos, download ou execução de ms_upd.exe, inicialização de game.exe, carregamento de WebView2Loader.dll fora de caminhos esperados e presença de visualwincomp.txt em diretórios de usuário ou pastas temporárias. A telemetria de processo deve destacar shells abertos por ferramentas remotas, PowerShell executado em sessão interativa incomum e comandos de reconhecimento simples, como enumeração de sistema, usuário, rede, unidades mapeadas e arquivos de configuração de VPN.

Na rede, o RAT realiza consulta periódica de comandos com intervalo de 60 segundos. Esse comportamento pode aparecer como beaconing regular para infraestrutura externa, especialmente quando combinado com processos com nomes que simulam componentes da Microsoft ou projetos WebView2. O endereço 172.86.126[.]208 deve ser pesquisado em proxy, EDR, firewall e DNS passivo interno. O endereço 172.86.76[.]127, ligado a exposição de diretório aberto em outra operação de nexo iraniano, também merece verificação histórica, embora a presença dele em logs não prove relação direta com a intrusão do Teams.

A investigação deve incluir logs de AnyDesk e DWAgent, artefatos de instalação, serviços criados, tarefas agendadas, chaves de inicialização, arquivos baixados e conexões de saída. Como as ferramentas são legítimas, o hunting precisa diferenciar uso autorizado de sessão inesperada. Indicadores úteis incluem instalação fora de janela de suporte, execução por usuário sem função administrativa, conexão para IDs desconhecidos, persistência criada durante ou logo após uma conversa externa no Teams e transferência de arquivos a partir de diretórios de documentos, VPN ou compartilhamentos internos.

Solicitação externa no Teams seguida de compartilhamento de tela e aprovação de MFA em curto intervalo.
Execução de curl baixando ms_upd.exe de 172.86.126[.]208 por sessão RDP ou usuário interativo.
Presença de ms_upd.exe, game.exe, WebView2Loader.dll e visualwincomp.txt em caminhos não padronizados.
Processos cmd.exe ou PowerShell iniciados por AnyDesk, DWAgent ou pelo RAT game.exe.
Beaconing com periodicidade aproximada de 60 segundos para infraestrutura externa não classificada.
Arquivos locais criados manualmente para armazenamento de credenciais ou instruções recebidas durante sessão remota.

Mitigação

A resposta deve priorizar contenção de identidade. Contas envolvidas em conversas externas suspeitas, aprovações de MFA incomuns ou sessões remotas devem ter tokens revogados, senhas redefinidas e métodos de MFA revisados. A organização deve invalidar sessões ativas, remover dispositivos desconhecidos e conferir regras de encaminhamento, consentimentos OAuth, alterações de grupos e novas credenciais de aplicação. Essa etapa precisa ocorrer antes de tratar o caso apenas como remoção de malware, porque o atacante pode recuperar acesso por credenciais já capturadas.

No Microsoft Teams, restrinja federação externa a domínios necessários, bloqueie comunicação aberta com tenants desconhecidos e aplique políticas que tornem usuários externos visualmente distinguíveis. Para suporte remoto, defina ferramentas permitidas, exija abertura de chamado verificável e proíba orientação para digitar credenciais em arquivos locais ou compartilhar códigos de MFA. Em MFA, prefira métodos resistentes a phishing, como chaves FIDO2 ou autenticação com validação forte de contexto, e bloqueie aprovações simples quando a sessão partir de localização, dispositivo ou ASN incomum.

Nos endpoints, remova instalações não autorizadas de AnyDesk e DWAgent, bloqueie execução de binários baixados de locais não confiáveis e adicione regras de detecção para os artefatos observados. A assinatura por certificado de código não deve ser usada como critério isolado de confiança; ms_upd.exe assinado por Donald Gay deve ser tratado como indicador de risco no contexto desta campanha. Também é necessário revisar RDP interno, limitar acesso lateral por grupos administrativos, aplicar allowlisting quando viável e auditar uso de PowerShell por usuários finais.

A contenção de dados exige identificar quais arquivos foram acessados, compactados, transferidos ou listados durante as sessões remotas. Compartilhamentos, perfis de VPN, documentos jurídicos, planilhas, repositórios internos e sistemas de negócio acessados por contas comprometidas devem ser revisados. Quando houver evidência de exfiltração, a organização deve preservar logs de proxy, firewall, EDR, Teams, Entra ID, VPN e ferramentas remotas, além de rotacionar segredos expostos em arquivos de configuração, scripts, documentos operacionais e caches locais.

Revogar sessões, redefinir senhas e reemitir métodos de MFA das contas que interagiram com o atacante.
Bloquear ou restringir chat externo no Teams para domínios não aprovados e revisar políticas de federação.
Remover AnyDesk e DWAgent não autorizados, verificando serviços, tarefas agendadas e artefatos de persistência.
Pesquisar e isolar hosts com ms_upd.exe, game.exe, WebView2Loader.dll ou visualwincomp.txt fora de caminhos esperados.
Bloquear conexões para 172.86.126[.]208 e investigar histórico de tráfego associado a esse endereço.
Rotacionar credenciais, segredos de VPN e tokens encontrados em arquivos acessíveis aos usuários comprometidos.
Revisar logs de Teams, Entra ID, RDP, EDR, proxy e firewall para reconstruir a linha do tempo da intrusão.

MuddyWater usa Microsoft Teams para roubo de credenciais em intrusão com fachada de ransomware

Postar um comentário

0 Comentários

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Comunidade

Assuntos

Menu Footer Widget

Contato

MuddyWater usa Microsoft Teams para roubo de credenciais em intrusão com fachada de ransomware

Talvez você goste destas postagens

Postar um comentário

0 Comentários

Siga o Cyber Guardian News

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Briefing global de ameaças

Comunidade

Assuntos

Menu Footer Widget

Contato