Chaos ransomware: quando lo spionaggio iraniano si maschera da cybercrime

C’è un momento preciso in cui un’indagine su un attacco ransomware smette di essere tale: è quando i ricercatori, scavando negli artefatti tecnici lasciati dagli attaccanti, si accorgono che qualcosa non torna, che i movimenti sono troppo chirurgici, gli obiettivi troppo specifici e, soprattutto, che mancano alcune cose che ci si aspetterebbe sempre di trovare in un caso del genere. Come, per esempio, il ransomware stesso.

È esattamente quello che è successo all’inizio del 2026, quando i ricercatori di Rapid7 hanno analizzato un’intrusione inizialmente classificata come un attacco del gruppo Chaos, una delle operazioni di ransomware-as-a-service (RaaS) più attive degli ultimi mesi, scoprendo qualcosa di molto più complesso e inquietante: un’operazione sotto falsa bandiera (false flag) con ogni probabilità attribuibile a MuddyWater (noto anche come Seedworm, Static Kitten o Mango Sandstorm), un gruppo APT (Advanced Persistent Threat) affiliato al Ministero dell’Intelligence e della Sicurezza iraniano (MOIS).

Un esempio di convergenza tra cyberwarfare e cybercrime

Il rapporto, pubblicato il 6 maggio 2026 con il titolo “Muddying the Tracks: The State-Sponsored Shadow Behind Chaos Ransomware”, ricostruisce l’intera catena di attacco e offre elementi tecnici e strategici che ridefiniscono la comprensione di come gli stati-nazione stiano evolvendo le proprie tattiche offensive nel cyberspazio.

Pierluigi Paganini, Cyber Security Analyst e CEO CYBHORUS, sottolinea che “il caso MuddyWater/Chaos conferma quanto il confine tra cybercrime e operazioni nation-state sia ormai sempre più sottile. Gli attori statali hanno compreso da tempo il valore strategico del cybercrime-as-a-service: usare ecosistemi ransomware consente di ridurre il rischio di attribuzione, accelerare operazioni “hit and run”, sfruttare infrastrutture già pronte e soprattutto creare diversivi perfetti. Se un incidente viene classificato subito come ransomware, i difensori concentrano gli sforzi sulla cifratura e sul ripristino, mentre l’obiettivo reale può essere spionaggio, persistenza o preparazione al sabotaggio”.

E quello che i ricercatori hanno osservato non è nemmeno un fenomeno nuovo. Ancora Pierluigi Paganini ci ricorda, infatti, che “WannaCry, di cui a giorni ricorre l’anniversario, è probabilmente il caso più emblematico. Formalmente era ransomware, ma numerose agenzie occidentali attribuirono l’operazione al gruppo Lazarus, gruppo APT che opera per conto della Corea del Nord. Molti analisti notarono anomalie incompatibili con il classico modello criminale: monetizzazione inefficiente, propagazione incontrollata e forte impatto destabilizzante. Un esempio perfetto di convergenza tra cyberwarfare e cybercrime”.

Chi è Chaos ransomware: il profilo del gruppo usato come copertura

Attivo da febbraio 2025, Chaos è un’operazione ransomware-as-a-service specializzata in attacchi “big-game hunting” contro organizzazioni di alto profilo, con richieste di riscatto che hanno raggiunto fino a 300.000 dollari. Il gruppo è emerso poco dopo la distruzione dell’infrastruttura di BlackSuit nell’estate 2025 durante l’Operazione Checkmate ed è probabilmente composto da ex membri di BlackSuit e/o Royal.

Chaos fa ampio affidamento su tecniche di social engineering e abuso di strumenti di accesso remoto per ottenere l’accesso iniziale, ricorrendo a spam e-mail abbinato a vishing (il phishing vocale) spesso con impersonificazione di personale IT di supporto. Il meccanismo è efficace perché sfrutta la naturale tendenza degli utenti a fidarsi di chi si presenta come supporto tecnico interno.

In linea con le pratiche ransomware più diffuse, Chaos impiega tipicamente la doppia estorsione esfiltrando dati sensibili prima della cifratura e minacciando la divulgazione pubblica tramite il proprio data leak site (DLS). Inoltre, ha anche dimostrato capacità di tripla estorsione minacciando attacchi DDoS contro l’infrastruttura della vittima.

Una caratteristica distintiva del DLS del gruppo è l’uso di un countdown “cieco”, che nasconde l’identità della vittima fino alla scadenza del timer, con l’intento di accelerare le negoziazioni.

Al momento, Chaos ha rivendicato 36 vittime, con una prevalenza di organizzazioni negli Stati Uniti, in particolare nei settori costruzioni, manifatturiero e servizi alle imprese.

L’attacco: come è avvenuta l’intrusione

L’intrusione investigata da Rapid7 è iniziata con una campagna di social engineering condotta tramite Microsoft Teams, in cui l’attaccante ha ingaggiato dipendenti attraverso richieste di chat esterne.

Operando in modo interattivo attraverso utenti compromessi, ha condotto una scoperta iniziale dell’ambiente, ha raccolto credenziali includendo la manipolazione dell’autenticazione a più fattori (MFA) e ha rapidamente sfruttato account legittimi per muoversi all’interno della rete.

Il vettore di Microsoft Teams è particolarmente insidioso: molte organizzazioni configurano la piattaforma per accettare comunicazioni da utenti esterni, dando per scontato che si tratti di collaboratori o fornitori legittimi. Gli attaccanti sfruttano esattamente questa fiducia implicita.

Una volta ottenuto l’accesso, l’attaccante ha stabilito la persistenza usando strumenti di accesso remoto come DWAgent e AnyDesk, ha distribuito payload aggiuntivi e ha esfiltrato i dati dall’ambiente compromesso, per poi contattare la vittima via email rivendicando il furto e avviando le trattative per il riscatto.

La fase di credential harvesting (ossia la raccolta illecita di credenziali) è stata particolarmente sofisticata: l’attaccante ha istruito esplicitamente le vittime a inserire le proprie credenziali in file di testo creati localmente (credentials.txt, cred.txt) e a modificare le configurazioni MFA per includere dispositivi controllati dall’attaccante.

Un esempio lampante di manipolazione psicologica: non si tratta di exploit tecnici, ma di ingegneria sociale applicata a livello procedurale.

Quello che un vero gruppo ransomware non avrebbe mai fatto

Qui sta il punto cruciale dell’intera vicenda e la ragione per cui questa storia merita un’analisi approfondita ben oltre la cronaca di un attacco informatico.

Nonostante l’attore abbia affermato di aver esfiltrato dati con successo e abbia operato sotto il brand Chaos, non ha mai distribuito il payload ransomware. Questo è un comportamento anomalo per qualsiasi affiliato finanziariamente motivato.

A ben pensarci, infatti, l’intero modello di business di un gruppo ransomware si basa sulla cifratura dei dati e sulla conseguente richiesta di riscatto. Saltare questo passaggio (che poi è quello che porta i soldi in tasca ai cyber criminali) non ha senso. Ha senso, invece, per un attore che persegue obiettivi di intelligence: infiltrarsi, raccogliere dati, stabilire una presenza persistente nella rete della vittima, e usare la narrativa ransomware solo come copertura per distrarre i difensori.

Rapid7 ha poi individuato diversi collegamenti con infrastrutture precedentemente usate da MuddyWater, tra cui un certificato di code-signing con il nome “Donald Gay” già associato a campagne precedenti, il dominio moonzonet[.]com usato per le attività di Command and Control (C2) e l’uso caratteristico di pythonw.exe per iniettare codice in processi sospesi, una tecnica tipica del repertorio di MuddyWater.

Non si tratta di prove definitive e non potrebbe essere altrimenti in quanto nell’attribuzione cyber raramente si hanno certezze assolute, ma il livello di confidenza dichiarato da Rapid7 è “moderato”, che nel gergo della threat intelligence equivale a una valutazione seria e circostanziata.

MuddyWater e la strategia del “ransomware come scudo”

Non è la prima volta che MuddyWater ricorre a questa strategia. Già alla fine del 2025 era stato collegato ad attività che coinvolgevano l’ecosistema RaaS di Qilin in un attacco contro un’organizzazione israeliana. Il passaggio a Chaos potrebbe essere stato motivato dal desiderio di ridurre ulteriormente il rischio di attribuzione.

La logica strategica è chiara e per chi lavora in ambito di threat intelligence non è una novità: i gruppi APT statali hanno capito che sfruttare l’ecosistema criminale del ransomware offre una copertura quasi perfetta.

L’uso di un framework RaaS consente di confondere i confini tra attività sponsorizzata da uno stato e cybercrime finanziariamente motivato, complicando enormemente l’attribuzione. Inoltre, includere elementi di estorsione e negoziazione può concentrare gli sforzi difensivi sull’impatto immediato, ritardando l’identificazione dei meccanismi di persistenza stabiliti tramite strumenti di accesso remoto come DWAgent o AnyDesk.

In altre parole, mentre i team di sicurezza sono impegnati a gestire l’emergenza del “ransomware”, l’attaccante statale ha già stabilito un accesso persistente e continua tranquillamente a esfiltrare dati. È una distrazione deliberata e sofisticata.

MuddyWater, dunque, avrebbe architettato una messa in scena progettata per coprire l’esfiltrazione di dati e operazioni di cyber sabotaggio.

Implicazioni strategiche: l’era degli attacchi ibridi

Questa vicenda non è un caso isolato, ma la manifestazione concreta di una tendenza in atto da anni, accelerata dalle tensioni geopolitiche globali: la convergenza tra cybercrime e cyberwarfare.

Gli stati-nazione non agiscono più esclusivamente con strumenti proprietari e classificati: affittano o imitano gli strumenti dei criminali, si infiltrano nelle reti RaaS come affiliati e usano infrastrutture condivise. Il vantaggio è duplice: abbassano i costi operativi e alzano il costo dell’attribuzione per i difensori.

Per le organizzazioni, soprattutto quelle nei settori strategici come industria, energia, finanza, difesa, ma anche fornitori di servizi e supply chain, questo significa che la risposta a un incidente ransomware non può più limitarsi a ripristinare i sistemi e pagare (o non pagare) il riscatto. Deve includere un’analisi approfondita che risponda a domande più difficili: chi era davvero questo attaccante? Cosa cercava? Qual è ancora nella nostra rete?

Indicazioni pratiche per difendersi

Alla luce di quanto emerso dall’analisi di questa campagna, è possibile delineare un framework operativo di difesa articolato su più livelli.

Gestione degli accessi e hardening di Microsoft Teams

Il vettore iniziale in questo attacco è stato Microsoft Teams. Molte organizzazioni non hanno mai verificato come la loro configurazione gestisce le comunicazioni da utenti esterni.

È fondamentale rivedere le policy di accesso esterno sulla piattaforma, disabilitare o limitare la possibilità per account non gestiti di avviare chat con i dipendenti, e implementare avvisi automatici quando un utente esterno richiede una sessione di screen sharing.

MFA robusta e resistente al phishing

La manipolazione dell’MFA è stata centrale in questo attacco. Il passaggio a metodi MFA resistenti al phishing, come FIDO2/passkey o certificati hardware, è oggi una priorità non rinviabile. Qualsiasi meccanismo MFA basato su OTP via SMS o app di autenticazione tradizionale è vulnerabile a tecniche di manipolazione sociale come quelle osservate in questo caso.

Controllo degli strumenti di remote access

DWAgent, AnyDesk, TeamViewer e simili sono strumenti legittimi, ma sono anche tra i più abusati dagli attaccanti per stabilire persistenza.

È essenziale implementare un inventario rigoroso degli strumenti di accesso remoto autorizzati, monitorare qualsiasi installazione non prevista di tali software e considerare l’uso di allowlist applicative (application whitelisting) nei sistemi più critici.

Threat hunting proattivo oltre gli indicatori ransomware

Come sottolinea Rapid7, la lezione principale è guardare “oltre gli indicatori del ransomware” e studiare l’intero ciclo di vita dell’intrusione.

Un team di sicurezza che si limita a rispondere all’allarme del ransomware senza analizzare la catena completa degli eventi rischia di perdere la presenza persistente dell’attaccante. Il threat hunting deve essere una pratica continua, non reattiva.

Analisi del comportamento e anomaly detection

Comandi come ipconfig /all, whoami, net start eseguiti in rapida sequenza da un utente che non è mai nella lista degli amministratori di sistema dovrebbero generare un alert immediato.

Investire in soluzioni di User and Entity Behavior Analytics (UEBA) e in regole di detection personalizzate basate sul contesto aziendale è essenziale per intercettare questi pattern prima che l’attacco si consolidi.

Considerazioni sulla gestione del rischio

Da un punto di vista di risk management aziendale, questa vicenda impone una riflessione che va oltre la dimensione puramente tecnica.

Il rischio ransomware nei modelli di valutazione tradizionali viene spesso classificato come rischio “cybercrime finanziario”: motivazione economica, attori criminali, impatto prevalentemente operativo e reputazionale.

Il caso MuddyWater-Chaos dimostra che questa categorizzazione è ormai insufficiente.

Lo stesso evento composto da un’intrusione con esfiltrazione dati e richiesta di riscatto può nascondere un’operazione di spionaggio statale con implicazioni radicalmente diverse: furto di segreti industriali, compromissione di infrastrutture critiche, prepositioning per attacchi futuri.

Questo cambia le modalità di risposta (non basta il ripristino tecnico, serve un’indagine forense approfondita), i soggetti da coinvolgere (le autorità competenti, come il CSIRT nazionale, devono essere informate tempestivamente) e la comunicazione verso stakeholder, clienti e partner.

Le organizzazioni dovrebbero aggiornare i propri modelli di threat modeling per includere esplicitamente lo scenario “APT travestito da ransomware” e assicurarsi che i piani di incident response prevedano un processo di attribuzione, per quanto approssimativa, come parte integrante della risposta.

Infine, diventa essenziale un tema di governance: il CISO e il management devono comprendere che in uno scenario di questo tipo non si parla più solo di continuità operativa, ma potenzialmente di sicurezza nazionale.

Il confine tra cyber risk aziendale e rischio geopolitico non esiste più.