MuddyWater, Chaos Fidye Maskesiyle Casusluk: Teams Ekran Paylaşımı + MFA Manipülasyonu ile 1 Saldırı

Fidye Yazılımı Konuşlandırılmadı

Rapid7'nin 2026 başı raporuna göre MuddyWater, Chaos fidye yazılımı kisvesi altında gerçek amacı keşif, kimlik bilgisi toplama ve veri hırsızlığı olan bir casusluk operasyonu yürüttü. Tehdit aktörleri Microsoft Teams üzerinden ekran paylaşımı oturumları kurarak MFA korumasını manipüle etti, kurban VPN yapılandırma dosyalarına erişti; DWAgent ve AnyDesk araçlarıyla kalıcı erişim sağlandı. Fidye yazılımı hiçbir zaman devreye girmedi: Chaos eserleri gerçek devlet destekli aktiviteyi gizlemek amacıyla sahte bayrak olarak yerleştirildi, özel RAT Darkcomp (Game.exe) ise önceki MuddyWater operasyonlarıyla bağlantılı bir sertifikayla imzalandı.

Rapid7'nin 2026 yılı başına ait raporuna göre İran bağlantılı APT grubu MuddyWater, Chaos fidye yazılımı kisvesi altında faaliyet gösteren bir casusluk operasyonu icra etti. Grubun gerçek hedefleri keşif, kimlik bilgisi toplama ve veri hırsızlığıydı; dosya şifreleyen fidye yazılımı hiçbir aşamada kurban sistemlere dağıtılmadı. Chaos fidye yazılımına ait eserler ve kurbanı Chaos'un sızıntı sitesinde listeleme, devlet destekli aktiviteyi gizlemeye yönelik bilinçli bir 'false flag' stratejisinin parçasıydı. Rapid7, atfı 'orta güven düzeyi' ile MuddyWater'a yaptı; grubun ABD tarafından resmi olarak İran İstihbarat ve Güvenlik Bakanlığı'na (MOIS) bağlandığı bilinmektedir.

Saldırı zinciri, sosyal mühendislikle başladı: Tehdit aktörleri Microsoft Teams üzerinden kurban organizasyonun çalışanlarıyla doğrudan iletişime geçerek ekran paylaşımı oturumları kurdu. Bu oturumlar aracılığıyla kullanıcılara kimlik bilgilerini yerel olarak oluşturulmuş metin dosyalarına girmeleri talimatı verildi; MFA korumaları manipüle edilerek hesaplar ele geçirildi. Bağlantı süresi boyunca tehdit aktörü temel keşif komutları çalıştırdı, VPN yapılandırma dosyalarına erişti ve en az bir vakada AnyDesk uzaktan yönetim aracını dağıttı. Ardından RDP oturumları ve DWAgent uzaktan erişim aracıyla kalıcı erişim tesis edildi, yanal hareket gerçekleştirilerek ek yükler devreye alındı ve veriler dışarı sızdırıldı. Saldırının son aşamasında çok sayıda kullanıcıya çalınan verilerin sızdırılacağını tehdit eden gasp e-postaları gönderildi.

Operasyonda kullanılan özel RAT olan Darkcomp (Game.exe), komut çalıştırma, dosya manipülasyonu ve kalıcı kabuk yürütme özelliklerini desteklemektedir. Backdoor, MuddyWater'ın önceki operasyonlarıyla ilişkilendirilmiş bir sertifikayla imzalanmış olup C&C alan adı da aynı tehdit aktörüyle ilişkilendirilmektedir. Sosyal mühendislik taktiği ve kötü amaçlı yazılım yürütme akışı, daha önce gözlemlenen MuddyWater aktivitesiyle tutarlılık göstermektedir. Kullanılan altyapı da önceki MuddyWater operasyonlarıyla doğrudan örtüşmektedir.

Rapid7'ye göre gasp ve müzakere unsurlarının kampanyaya dahil edilmesi, savunma çabalarını anlık fidye olayına yönlendirerek DWAgent ve AnyDesk gibi uzaktan erişim araçlarıyla tesis edilen kalıcı erişim mekanizmalarının tespit edilmesini geciktirme amacı taşımaktadır. Bu 'fidye yazılımı olarak haraket' taktik yaklaşımı, grubun temel hedeflerinde bir değişikliği değil; operasyonel niyeti gizleme ve atfı karmaşıklaştırma çabalarının sürmesini yansıtmaktadır. MuddyWater; Mango Sandstorm, Mercury, Seedworm ve Static Kitten takma adlarıyla da tanınan bir APT grubudur.

Finans sektörü ve Orta Doğu'da faaliyet gösteren kurumlar için bu kampanya kritik bir risk profili oluşturmaktadır: MuddyWater'ın daha önce Türkiye dahil birçok Orta Doğu ülkesindeki finansal ve kritik altyapı hedeflerine yönelik operasyonlar yürüttüğü bilinmektedir. Microsoft Teams'in meşru bir iletişim kanalı olarak kötüye kullanılması ve MFA manipülasyonu, sıfır güven mimarisi uygulamayan veya Teams dış iletişimlerini denetlemeyen kurumlar için doğrudan bir tehdit vektörü oluşturmaktadır. Özellikle VPN yapılandırma dosyalarına erişim, saldırganların kurum ağına ikincil bir giriş yolu edinmesine zemin hazırlayabilir.

▸ ÖNERİLEN AKSİYONLAR

→ Microsoft Teams'te dış kiracılardan (external tenants) gelen ekran paylaşımı ve uzaktan kontrol taleplerini kısıtlayın; yalnızca onaylı kuruluşların iletişim başlatmasına izin verecek şekilde politika yapılandırın.

→ DWAgent ve AnyDesk gibi onaysız uzaktan yönetim araçlarının kurulum ve çalışmasını EDR/uç nokta politikaları aracılığıyla engelleyin; allowlist dışı RMM araçlarını tespit eden SIEM kuralı aktive edin.

→ SIEM'de aşağıdaki log pattern'lerini geriye dönük en az 90 günlük kayıtlarda arayın: ``` Game.exe process creation DWAgent.exe network connections AnyDesk.exe lateral movement Teams session + credential file creation (*.txt) correlation ```

→ MFA politikasını gözden geçirin: Sosyal mühendislikle manipüle edilebilen SMS/OTP tabanlı MFA yerine FIDO2/phishing-resistant MFA'ya geçiş planlayın; Teams oturumları sırasında kimlik doğrulama girişimlerini anomali tespiti için izleyin.

→ VPN yapılandırma dosyalarını (örn. .ovpn, .pcf, .vpn) içeren dizinleri hassas veri olarak sınıflandırın ve bu dosyalara yetkisiz erişim girişimlerini DLP/CASB çözümleriyle izleyin; etkilenmiş şüpheli hesaplarda VPN sertifikalarını ve parolalarını derhal sıfırlayın.

▸ KAYNAK

Birincil: SecurityWeek ↗

Ek: Rapid7 — Iranian APT Intrusion Masquerades as Chaos Ransomware Attack (SecurityWeek) ↗

Ek: CISA — MuddyWater (MOIS-linked) Threat Actor Advisory ↗

// IoC / GÖSTERGELER (3)

filename

Game.exe

MuddyWater özel RAT'ı Darkcomp — komut çalıştırma, dosya manipülasyonu ve kalıcı kabuk yürütme destekler

tool

DWAgent

Kalıcı uzaktan erişim için kullanılan uzaktan yönetim aracı

tool

AnyDesk

İlk erişim aşamasında ekran paylaşımı oturumu sonrası dağıtılan uzaktan yönetim aracı

// HEDEF / ETKİ

Kurumsal Ağlar / VPN Altyapısı / MENA

// META

📅 7 May 2026

📰 SecurityWeek / Rapid7

📊 1 Fidye Yazılımı Konuşlandırılmadı

← TÜM HABERLER