Иранские государственные хакеры используют вирус-вымогатель Chaos как прикрытие для шпионажа

Согласно новому исследованию, связанные с иранским правительством хакеры применяют программу-вымогатель Chaos ransomware в качестве маскировки для операций по краже данных и кибершпионажу.

Кто стоит за атаками?

Специалисты по кибербезопасности из компании Rapid7 расследовали инцидент, который поначалу выглядел как обычная атака вымогателей. Однако в ходе расследования выяснилось, что за ней стоит группировка MuddyWater — иранская APT-группа, связанная с Министерством разведки и безопасности Ирана (MOIS).

«Использование Chaos ransomware отражает последовательные усилия по сокрытию истинных намерений и затруднению атрибуции атак.»

— исследователи Rapid7 Александра Блиа и Иван Фейгль

По данным экспертов, с начала 2026 года активность MuddyWater заметно возросла. Группировка всё активнее использует операции под ложным флагом, чтобы скрыть свою причастность к атакам на сети западных стран и Ближнего Востока.

Как проводились атаки?

Для получения первоначального доступа хакеры использовали социальную инженерию через Microsoft Teams: они рассылали сотрудникам компаний запросы на внешний чат и устанавливали личные беседы с пользователями. Затем злоумышленники инициировали сессию совместного доступа к экрану, в ходе которой получали доступ к файлам VPN-конфигурации и убеждали жертв вводить учётные данные.

После закрепления в системе хакеры:

• устанавливали инструменты удалённого управления для расширения доступа
• похищали конфиденциальные данные компании
• рассылали сотрудникам угрозы об утечке данных в случае неуплаты выкупа
• публиковали похищенные данные — их подлинность впоследствии подтвердила сама жертва

Примечательно, что в отличие от классических атак вымогателей, шифрование файлов не проводилось — это и насторожило исследователей, натолкнув на мысль о подставном характере атаки.

Доказательства иранского следа

Технический анализ выявил многочисленные улики, указывающие на MOIS: применённые вредоносные инструменты и цифровые сертификаты совпадали с типичным арсеналом MuddyWater. Инфраструктура атаки ранее была связана с другой кампанией этой группировки, зафиксированной в марте 2026 года и направленной против организаций на Ближнем Востоке и в Северной Африке.

Глобальная тенденция: государства прячутся за вымогателями

MuddyWater — не единственная государственная группировка, использующая ransomware как прикрытие. Аналогичную тактику применяют хакеры из Китая, России и Северной Кореи. В частности:

• В феврале 2026 года северокорейские хакеры были замечены в использовании Medusa ransomware
• ФБР фиксировало случаи сотрудничества иранских акторов с группировками NoEscape, Ransomhouse и AlphV — с получением доли от выкупа
• Американская организация здравоохранения была атакована иранским вымогателем Pay2Key в конце февраля

«Инцидент наглядно демонстрирует растущее сближение между деятельностью спонсируемых государством хакеров и методами киберпреступников.»

— Rapid7

Вывод: использование программ-вымогателей позволяет государственным акторам скрывать истинные мотивы своих атак, существенно затрудняя работу западных правоохранительных органов и специалистов по кибербезопасности.