Um grupo de hackers ligado ao Irã usou o Microsoft Teams como porta de entrada para roubar credenciais, manipular configurações de autenticação multifator e manter acesso persistente em redes corporativas.
A campanha foi associada ao MuddyWater, também rastreado como Mango Sandstorm, Seedworm e Static Kitten. O grupo é conhecido por operações de espionagem e, neste caso, teria usado sinais de ransomware como disfarce para encobrir uma ação voltada à coleta de dados e permanência no ambiente.
A invasão começava com pedidos de conversa externos enviados a funcionários pelo Microsoft Teams. Depois de estabelecer contato, os operadores iniciavam sessões de compartilhamento de tela e guiavam a vítima durante comandos de reconhecimento no próprio computador.
Em seguida, os invasores orientavam os usuários a digitar credenciais em arquivos locais chamados credentials.txt e cred.txt. Também tentavam convencer as vítimas a adicionar dispositivos controlados pelos atacantes às configurações de MFA.
Com as credenciais obtidas, o grupo acessava sistemas internos, incluindo controladores de domínio, e instalava ferramentas de acesso remoto como DWAgent e AnyDesk. Essa combinação permitia persistência e movimentação dentro da rede.
A operação também envolveu o uso de um downloader chamado ms_upd.exe, responsável por coletar informações do host e se comunicar com infraestrutura de comando e controle. Depois, era entregue um payload com componentes associados a um trojan de acesso remoto chamado Game.exe.
O malware se disfarçava como uma aplicação legítima baseada no Microsoft WebView2 e oferecia recursos como execução de comandos, transferência de arquivos, shell interativo e exclusão de dados. A configuração era protegida com criptografia, embora parte dos comandos permanecesse em texto claro.
