MuddyWater “Mượn Danh” Ransomware: Chiêu Trò Chiếm Đoạt Thông Tin Qua Microsoft Teams

Một chiến dịch tấn công mới vừa bị “bóc mẽ” cho thấy các nhóm APT (Advanced Persistent Threat) đang ngày càng tinh vi trong việc thao túng tâm lý và che đậy dấu vết.

Lần này, cái tên nằm trong tầm ngắm là MuddyWater (còn được biết đến với các định danh như Mango Sandstorm, Seedworm, hay Static Kitten) – một nhóm hacker có liên kết với chính phủ Iran. Điều đáng chú ý là thay vì tấn công trực diện, chúng đang thực hiện một chiến dịch “False Flag” (chiến dịch giả mạo dưới danh nghĩa kẻ khác) cực kỳ nguy hiểm.

1. Kịch bản tấn công: Social Engineering qua Microsoft Teams

Theo báo cáo mới nhất từ Rapid7 vào đầu năm 2026, MuddyWater không bắt đầu bằng những lỗ hổng Zero-day phức tạp. Thay vào đó, chúng lợi dụng sự tin tưởng của người dùng trên Microsoft Teams.

Kịch bản diễn ra như sau:

• Hacker sử dụng kỹ thuật Social Engineering, đóng giả làm nhân viên kỹ thuật hoặc quản trị viên hệ thống.

• Chúng gửi tin nhắn trực tiếp qua Microsoft Teams để lừa người dùng thực hiện các thao tác cài đặt hoặc tải tệp tin độc hại.

• Sau khi “cá cắn câu”, chuỗi Infection Sequence sẽ được kích hoạt để xâm nhập sâu hơn vào hệ thống.

2. Chiến thuật “False Flag” – Đòn tung hỏa mù

Điểm thú vị (và cũng đáng sợ nhất) ở đây chính là việc giả mạo Ransomware. Thông thường, các vụ tấn công mã hóa dữ liệu đòi tiền chuộc sẽ để lại dấu vết rất rõ ràng. Tuy nhiên, trong trường hợp này, MuddyWater chỉ sử dụng “vỏ bọc” Ransomware làm bình phong.

Mục tiêu thực sự của chúng không phải là tiền mã hóa (crypto), mà là Steal Credentials (đánh cắp thông tin đăng nhập). Việc giả vờ tấn công Ransomware giúp chúng:

1. Đánh lạc hướng các đội ngũ SOC (Security Operations Center).

2. Gây hoang mang để nạn nhân vô tình tiết lộ thêm các thông tin nhạy cảm trong quá trình xử lý sự cố.

3. Che giấu mục đích gián điệp dài hạn của nhóm APT này.

3. Bài học cho dân Tech

Dù bạn là Dev hay Ops, việc cảnh giác với các nền tảng giao tiếp nội bộ như Slack hay Teams là chưa bao giờ thừa. Các tệp tin thực thi hoặc yêu cầu cấp quyền bất thường cần được kiểm chứng qua các kênh chính thống.

Lời khuyên: Hãy luôn bật MFA (Multi-Factor Authentication) và không bao giờ thực thi các script không rõ nguồn gốc từ các tin nhắn “khẩn cấp” trên Teams.