El grupo iraní MuddyWater, vinculado al Ministerio de Inteligencia y Seguridad de Irán (MOIS), ha utilizado esta semana una maniobra de false flag con el ransomware Chaos para ocultar una campaña de espionaje dirigida a través de Microsoft Teams. La firma de seguridad Rapid7 ha detallado el ataque, que comenzó en enero de 2026 y se prolongó durante semanas sin detectar. Los atacantes nunca cifraron los archivos, aunque dejaron una nota de rescate con la marca Chaos. Algo que, le adelanto, no es más que una cortina de humo: el objetivo real era robar credenciales y documentos confidenciales.
La coartada del ransomware: Chaos que nunca cifra
El incidente se detectó cuando la entidad afectada alertó a Rapid7 de una intrusión con apariencia de ataque de ransomware. Pero los peritos pronto comprobaron que el comportamiento del malware no encajaba: no se ejecutó ningún cifrado real de los datos, y los ficheros se mantenían intactos. La nota de rescate, con la identidad de Chaos, era lo único que apuntaba a un ciberataque económico. La realidad era otra. Los operadores de MuddyWater habían desplegado herramientas de acceso remoto, como AnyDesk, para obtener control persistente de los equipos. Mientras la víctima temía una extorsión millonaria, los espías iraníes recorrían sus servidores en busca de información sensible.
Eso sí, la elección de Chaos no fue casual. Se trata de un ransomware conocido, con una marca reconocible, lo que hace creíble la atribución inmediata a un ciberdelincuente común. De hecho, los atacantes dejaron algunas pistas falsas para despistar a los investigadores, como claves de cifrado supuestamente vinculadas a grupos de extorsión de habla rusa. Pero la tradecraft de MuddyWater es demasiado sofisticada para caer en un engaño de baja intensidad. Las evidencias técnicas apuntan sin ambages a un manual de inteligencia estatal, no a un criminal oportunista.
El tradecraft del engaño: así se infiltró MuddyWater
El ataque comenzó con un contacto por Microsoft Teams. Un supuesto trabajador de soporte técnico abordaba a empleados de la organización víctima y los guiaba a través de una conversación aparentemente legítima. Una vez ganada la confianza, los convencía para descargar una herramienta de escritorio remoto —AnyDesk en este caso— que el atacante instalaba con credenciales de administrador. A partir de ahí, el acceso era total. Los agentes de MuddyWater recolectaron credenciales de dominio, tokens de sesión y datos de la nube sin que la víctima notara actividad inusual.
Paralelamente, los atacantes movieron varios gigabytes de datos a servidores externos mediante conexiones cifradas. La exfiltración, según Rapid7, se produjo en oleadas durante más de seis semanas. La campaña demuestra una paciencia y una disciplina operativa que pocos grupos criminales pueden mantener. Como he escrito en otras ocasiones, el ciberespionaje de Estado se mide en meses, no en días. La víctima no ha sido identificada, pero todo apunta a una entidad del sector gubernamental o de defensa de Oriente Medio, un blanco habitual del catálogo de Teherán.
Dossier Moncloa: Ojos en la Sombra
Vector de amenaza: ciberataque de bandera falsa (false flag). El disfraz de ransomware Chaos ocultó una operación de espionaje con ingeniería social vía Microsoft Teams y herramientas de administración remota legítimas. No hubo cifrado real ni exigencia de rescate; la exfiltración de datos fue el único propósito.
Agencias implicadas: Atacante — MuddyWater, grupo de amenaza persistente avanzada (APT) vinculado al MOIS iraní, también conocido como Mango Sandstorm, Seedworm o Static Kitten. Defensora — la organización víctima, no revelada, probablemente parte de la administración pública o de una empresa estratégica en la región del Golfo. Terceros interesados — el CNI y el CCN-CERT españoles observan con lupa este tipo de maniobras, al igual que los servicios de inteligencia europeos y estadounidenses. El uso de falsas banderas con ransomware preocupa especialmente a los aliados de la OTAN: si un ataque de espionaje se confunde con un ciberataque económico, la escalada diplomática puede ser impredecible.
Nivel de clasificación estimado: la información sustraída es con toda probabilidad de nivel Confidencial o, como mínimo, Uso Restringido, dado el perfil de la víctima y la sistemática del grupo. El informe de Rapid7 no contiene material clasificado, pero sí es sensible porque revela métodos operativos de inteligencia extranjera.
Precedentes históricos: no es la primera vez que Irán despliega una cortina de humo digital. En 2012, el gusano Shamoon, atribuido a la misma constelación del IRGC, ya se disfrazó de herramienta de sabotaje cuando en realidad aspiraba a un impacto psicológico sobre Arabia Saudí. Más cerca está NotPetya (2017), una operación rusa que simulaba un ransomware para destruir datos en Ucrania. MuddyWater perfecciona ahora esa doctrina: el ruido mediático del ransomware tapa el robo silencioso de información. Le recuerdo además que, en 2023, el propio CNI alertó en su Informe Anual de Seguridad Nacional sobre la creciente utilización de técnicas de falsa bandera por parte de actores estatales.
El ransomware funciona como la niebla de guerra digital: lo que parece extorsión es, en realidad, una operación de espionaje de Estado que disfraza su propósito.
Desde la perspectiva española, el episodio tiene una lectura directa. El CCN-CERT mantiene desde hace meses una alerta elevada sobre las campañas de ingeniería social a través de plataformas de colaboración como Teams. Las guías de ciberseguridad del organismo recuerdan que la verificación de la identidad del interlocutor es la primera línea de defensa. En este caso, la víctima cayó en un timo tan viejo como el oficio, pero digitalizado y con un actor estatal detrás. Lo veo como un aviso para cualquier empresa española con intereses en el sector energético, de defensa o diplomático: Irán ha demostrado que puede colarse por la puerta de Teams sin necesidad de un zero-day.
Por cierto, el grupo MuddyWater opera desde hace una década con campañas de spear-phishing y uso intensivo de software legítimo para mezclarse con el tráfico corporativo. Su táctica favorita es evitar las herramientas más sofisticadas y, en cambio, explotar la confianza humana. De ahí que el CCN-CERT haya incorporado este incidente como caso de estudio en su último boletín de amenazas avanzadas. Los números no engañan: en los últimos dos años, más de una veintena de empresas españolas han recibido intentos de intrusión con patrones atribuibles a actores iraníes, según fuentes consultadas por esta redacción.
He seguido a MuddyWater desde sus primeras campañas, en 2017, contra entidades gubernamentales saudíes e israelíes. Siempre me ha llamado la atención su capacidad para actualizar constantemente el tradecraft sin caer en la sofisticación extrema. En mi opinión, esta operación de bandera falsa les sitúa un escalón por encima de otros grupos como APT34, más centrados en el sabotaje. Lo que no está claro es si el MOIS buscaba obtener inteligencia estratégica concreta o simplemente probar la resistencia de las defensas occidentales ante un nuevo tipo de cobertura. La respuesta de la comunidad de inteligencia se medirá en las próximas semanas, cuando se revele la identidad de la víctima.
