O avanço das ferramentas de colaboração transformou o ambiente corporativo e também ampliou a superfície de ataque para grupos de espionagem cibernética. Em uma nova campanha atribuída ao grupo MuddyWater, pesquisadores da Rapid7, em relatório publicado em maio de 2026, detalham como atores estatais vêm explorando o Microsoft Teams como vetor inicial de comprometimento.
A operação chama atenção por combinar técnicas avançadas de engenharia social, abuso de ferramentas legítimas de acesso remoto e uma estratégia deliberada de disfarce sob a identidade de ransomware comum, incluindo referências ao ecossistema “Chaos”. Na prática, o objetivo não é apenas comprometer credenciais, mas também dificultar a atribuição do ataque e prolongar a permanência silenciosa dentro das redes corporativas.
Esse tipo de campanha reforça uma tendência crescente no cenário de ameaças: o uso de plataformas confiáveis de comunicação como porta de entrada para ataques altamente sofisticados.
O modus operandi: engenharia social via Microsoft Teams
A campanha do grupo MuddyWater começa com uma abordagem direta às vítimas dentro do ambiente corporativo. Em vez de explorar vulnerabilidades técnicas tradicionais, os atacantes priorizam o contato humano, utilizando perfis falsos que se passam por suporte técnico, fornecedores ou até colegas internos.
O ponto central da operação é o uso de conversas externas no Microsoft Teams, recurso frequentemente habilitado em ambientes empresariais. A partir dele, os atacantes iniciam interações que simulam incidentes urgentes, como problemas de acesso, atualização de segurança ou validação de conta.
Esse cenário abre espaço para a aplicação de engenharia social em múltiplas etapas. Os alvos são induzidos a fornecer informações sensíveis ou a executar ações que comprometem o ambiente, como aprovar solicitações de autenticação ou instalar ferramentas de suporte remoto.
A manipulação da autenticação de dois fatores (MFA)
Um dos aspectos mais críticos da campanha é a tentativa de contornar a MFA (autenticação multifator). Em vez de quebrar diretamente o mecanismo, os atacantes exploram a fadiga de autenticação e a confiança do usuário.
Em muitos casos, a vítima recebe múltiplas solicitações de aprovação após uma conversa aparentemente legítima. O objetivo é induzir o usuário a aceitar o acesso por desgaste ou confusão, prática conhecida como “push bombing”.
Além disso, os atacantes podem solicitar códigos temporários sob o pretexto de verificação de identidade, reforçando o componente de engenharia social como principal vetor de sucesso da invasão.
Ataque de falsa bandeira: por que o grupo se disfarça?
A estratégia de falsa bandeira adotada pelo MuddyWater é um dos elementos mais sofisticados da campanha. Segundo a análise da Rapid7, há uma tentativa deliberada de associar partes da operação ao ecossistema de ransomware “Chaos”, um nome frequentemente utilizado em diferentes contextos por operadores oportunistas.
Essa associação não é acidental. O objetivo é criar confusão na comunidade de segurança, dificultando a atribuição precisa do ataque e desviando a atenção das capacidades reais do grupo.
Essa tática permite duas vantagens estratégicas:
- Reduz a pressão geopolítica ao diluir a responsabilidade direta do patrocinador estatal.
- Força as equipes de defesa a priorizarem resposta a incidentes de ransomware, enquanto o verdadeiro objetivo, espionagem e persistência, ocorre em segundo plano.
Essa abordagem híbrida mistura espionagem cibernética com elementos de extorsão digital simulada, criando um cenário complexo para análise forense.
Detalhes técnicos e ferramentas utilizadas
A cadeia de ataque identificada no relatório da Rapid7 mostra o uso de um conjunto variado de ferramentas legítimas e maliciosas. O grupo não depende apenas de malware sofisticado, mas de uma combinação de utilitários conhecidos no ecossistema corporativo.
Entre os principais recursos observados estão:
- AnyDesk, utilizado para acesso remoto legítimo mascarado como suporte técnico
- DWAgent, ferramenta de administração remota frequentemente abusada em ambientes Windows
- Um RAT personalizado baseado em WebView2, projetado para operação furtiva no sistema
Essas ferramentas permitem que o atacante mantenha controle persistente sobre sistemas comprometidos sem levantar suspeitas imediatas.
Cadeia de infecção e arquivos maliciosos
O processo de infecção geralmente começa com a interação via Microsoft Teams, onde a vítima é levada a baixar ou executar um arquivo disfarçado de atualização legítima. Um dos nomes identificados na campanha é ms_upd.exe, um executável malicioso projetado para iniciar a cadeia de comprometimento.
Após a execução, o arquivo atua como dropper, instalando componentes adicionais e configurando persistência no sistema. Em seguida, são implantadas ferramentas de controle remoto, permitindo movimentação lateral dentro da rede corporativa.
O uso de binários com nomes associados a atualizações do sistema reforça o componente de engenharia social, já que reduz a suspeita inicial da vítima.
Conclusão e impactos no cenário geopolítico
A campanha atribuída ao grupo MuddyWater evidencia a convergência cada vez mais clara entre espionagem estatal e táticas associadas a ransomware. O uso de falsa bandeira, combinado com plataformas corporativas legítimas, representa um desafio significativo para equipes de segurança.
Mais do que um ataque técnico, trata-se de uma operação estratégica que busca invisibilidade operacional, persistência prolongada e confusão na atribuição. O uso de ferramentas como Microsoft Teams, aliado a mecanismos de engenharia social e abuso de acesso remoto, demonstra como o fator humano continua sendo o elo mais explorado por agentes avançados.
Para organizações, os impactos são diretos: risco de vazamento de dados, comprometimento de credenciais e possível movimentação lateral silenciosa dentro da infraestrutura.
Como resposta, especialistas recomendam a revisão de políticas de comunicação externa no Microsoft Teams, restrição de chats com domínios não confiáveis e programas contínuos de treinamento em segurança. A conscientização sobre solicitações suspeitas, especialmente envolvendo MFA, continua sendo uma das defesas mais eficazes contra esse tipo de ataque.
