為掩護網路間諜活動，伊朗駭客MuddyWater利用勒索軟體Chaos製造混亂

資安公司Rapid7揭露今年初發生的勒索軟體Chaos活動，表面上看起來是勒索軟體租用服務（RaaS）旗下打手的活動，但根據鑑識的結果，發現這其實是用來混淆真正攻擊的假旗行動（False Flag），Rapid7根據程式碼簽章、C2基礎設施等證據，認為背後的攻擊者身分，是隸屬伊朗情報與國家安全部（MOIS）的國家級駭客組織MuddyWater（Seedworm）。

雖是勒索軟體活動，不過駭客透過微軟Teams進行社交工程接觸受害組織，然後透過螢幕分享的方式收集憑證，並且操縱多因素驗證（MFA）流程。在成功滲透受害組織的內部網路環境後，這些駭客竊取內部資料後並未加密檔案，而是使用遠端管理工具DWAgent、AnyDesk持續在網路環境活動，並部署RAT木馬Game.exe。