Дослідники безпеки з Rapid7 виявили складну операцію під «фальшивим прапором», яку проводить іранське угруповання MuddyWater. Хакери використовують тактику соціальної інженерії через платформу Microsoft Teams, видаючи себе за технічну підтримку або внутрішніх співробітників компаній. Після встановлення контакту вони переконують жертву запустити сесію спільного використання екрана, що дозволяє їм викрадати облікові дані та обходити багатофакторну автентифікацію. Головною особливістю є те, що зловмисники залишають сліди, характерні для групи вимагачів Chaos, щоб приховати свою державну приналежність.

Під час атак MuddyWater розгортає власний троян віддаленого доступу під назвою Darkcomp та легітимні інструменти, такі як AnyDesk та DWAgent, для закріплення в системі. Хоча хакери розсилають електронні листи з погрозами злити дані та вимогами викупу, вони не використовують шкідливе ПЗ для шифрування файлів. Основною метою операції є шпигунство та збір конфіденційної інформації про конфігурації VPN та облікові записи користувачів. Використання артефактів Chaos служить лише для створення димової завіси, що ускладнює атрибуцію атаки та сповільнює реакцію команд реагування на інциденти.