伊朗黑客用勒索软件当烟雾弹，Teams聊天就能渗透内网

周三下午，一名员工收到Teams消息，对方自称是IT支持。几小时后，这家公司的域控服务器已经落入他人之手。这不是普通的社工攻击——Rapid7最新披露的案例显示，国家级黑客正在把勒索软件变成隐身衣。

攻击者来自伊朗背景的MuddyWater组织，但他们没有直接暴露身份。相反，整个行动被包装成Chaos勒索软件攻击：勒索信、数据泄露网站、甚至双重勒索的戏码一应俱全。Rapid7研究人员指出，这种"借壳"策略的核心目的不是求财，而是让真正的间谍活动消失在噪音里。

入侵起点是Microsoft Teams。攻击者主动发起聊天，建立屏幕共享，然后诱导员工在伪造的Microsoft Quick Assist页面输入凭据，或直接让对方把密码敲进本地文本文件。拿到账号后，他们立即调整多因素认证设置，在某些案例中部署了AnyDesk实现远程控制。

权限巩固阶段的手法同样老练。RDP、DWAgent、AnyDesk三种工具同时用于维持访问，随后通过名为ms_upd.exe的加载器投放自定义后门Game.exe。这个伪装成Microsoft WebView2应用的程序自带反分析和反虚拟机检测，支持12条指令，涵盖PowerShell执行、文件上传删除、持久化Shell访问等功能。

Rapid7将此事归因于MuddyWater的把握来自三个重叠点：基础设施复用、一枚特定的代码签名证书（曾用于该组织旗下的Stagecomp和Darkcomp恶意软件），以及操作手法的连贯性。这个组织还有Static Kitten、Mango Sandstorm、Seedworm等多个别名，长期受伊朗情报与安全部（MOIS）指挥。

这不是MuddyWater第一次玩这套。2025年末，同一组织在针对以色列机构的攻击中部署了Qilin勒索软件。研究人员推测，那次归因曝光后，他们可能更换了勒索软件品牌以继续混淆视听。

Chaos勒索软件本身是个2025年冒头的RaaS（勒索软件即服务）项目，专攻美国大型目标，惯用双重勒索和社工组合拳。但当国家级黑客借用这套外衣时，技术细节里的"缺席"反而成了关键线索——真正的勒索团伙不会放过任何变现机会，而这场攻击的重心始终在网络渗透和数据窃取。

事件揭示的趋势值得警惕：国家支持的黑客与犯罪工具正在加速融合。对防御方而言，这意味着不能仅凭勒索信就判断对手性质，Teams等日常协作平台的安全审查也需要升级。