Mastodawn

📢 MuddyWater utilise Chaos Ransomware comme faux drapeau pour de l'espionnage étatique
📝 ## 🌐 Contexte

Source : Rapid7 Blog, publié le 6 mai 2026.
📖 cyberveille : https://cyberveille.ch/posts/2026-05-08-muddywater-utilise-chaos-ransomware-comme-faux-drapeau-pour-de-l-espionnage-etatique/
🌐 source : https://www.rapid7.com/blog/post/tr-muddying-tracks-state-sponsored-shadow-behind-chaos-ransomware/
#Chaos #DWAgent #Cyberveille

MuddyWater utilise Chaos Ransomware comme faux drapeau pour de l'espionnage étatique

🌐 Contexte Source : Rapid7 Blog, publié le 6 mai 2026. L’article présente une analyse forensique d’une intrusion détectée début 2026, initialement identifiée comme une attaque Chaos ransomware-as-a-service (RaaS), mais réévaluée comme une opération étatique sous faux drapeau. 🎭 Attribution et faux drapeau L’analyse forensique attribue l’activité avec confiance modérée à MuddyWater (Seedworm), un groupe APT iranien affilié au Ministry of Intelligence and Security (MOIS). Les artefacts techniques ayant conduit à cette attribution incluent :

CyberVeille

Blabla Linux 🇧🇪♻️💻🐧🇫🇷Jul 31, 2024

Lors de la mise à niveau vers Mint 22, je n'avais pas remarqué qu'ensuite #DWService et son #DWAgent n'était plus fonctionnel ❗
Une simple désinstallation avec dwagent_uninstall et une réinstallation avec le téléchargement du script dwagent.sh à régler le problème ✔️

Blabla Linux 🇧🇪♻️💻🐧🇫🇷May 11, 2024

#DWService et son #DWAgent 😎
Intégré à l' @Emmabuntus depuis un moment 👍
Je vous le recommande 🫵
C'est simple, chez moi, il remplace petit à petit #AnyDesk 😮
▶️ https://www.dwservice.net/fr/home.html

DWService - Accès à distance, Administration à distance, Support à distance

DWService offre un service qui autorise l'accès à distance sur des systèmes en utilisant un navigateur web standard.

plumf Feb 2, 2024

@jeeynet Personnellement j'utilise #dwagent mais je ne suis pas sur qu'il y est tous ce lot de fonctionnalités...

Show thread

Sophos X-Ops Apr 27, 2023

The #SophosMDR team also discovered cases where threat actors targeting #PaperCut were abusing the bitsadmin.exe Windows application to download payloads. #BITSAdmin is commonly abused by active adversaries as a "living off the land binary" or #LOLbin, handy for accomplishing the task of downloading payloads.

The tools exploited in the attacks have included what we refer to as “dual-use agents,” used both legitimately by IT staff and maliciously by attackers. At the time of writing, Sophos has observed the abuse of #AnyDesk, #Atera, #Synchro, #TightVNC, #NetSupport, and #DWAgent remote management tools across multiple campaigns.

4/6