RustyWater RAT

نُسبت حملة تصيد احتيالي جديدة تستهدف منظمات دبلوماسية وبحرية ومالية واتصالات في الشرق الأوسط إلى جهة تهديد مرتبطة بإيران تُعرف باسم "مادي ووتر". وتتمحور هذه الحملة حول برنامج خبيث مُثبّت بلغة "راستي ووتر"، مبني على لغة "راست"، ما يُمثل خطوة أخرى في تطور المجموعة المستمر نحو تطوير برامج خبيثة مُصممة خصيصًا.

يُعرف أيضاً باسم "مانجو ساندستورم" و"ستاتيك كيتن" و"TA450"، ويُعتقد على نطاق واسع أن مجموعة "مادي ووتر" تعمل لصالح وزارة الاستخبارات والأمن الإيرانية. وتنشط المجموعة منذ عام 2017 على الأقل، وتركز باستمرار على استهداف جهات حكومية وقطاع خاص في المنطقة.

ناقل العدوى: الوثائق المُسلّحة والخداع البصري

سلسلة الهجوم بسيطة نسبيًا لكنها فعّالة. يتلقى الضحايا رسائل بريد إلكتروني مُصممة خصيصًا للتصيد الاحتيالي، تبدو وكأنها إرشادات رسمية للأمن السيبراني. تحتوي هذه الرسائل على مرفق خبيث من مايكروسوفت وورد يستخدم تقنية انتحال الأيقونات ليظهر بمظهر شرعي.

عند فتح المستند، يُطلب من المستخدم "تمكين المحتوى". يؤدي قبول هذا الطلب إلى تشغيل ماكرو VBA خبيث يقوم بإسقاط وتنفيذ حمولة برمجية مكتوبة بلغة Rust. تظل هذه الخطوة من الهندسة الاجتماعية حاسمة لنجاح الحملة.

قدرات البرمجيات الخبيثة: داخل زرع RustyWater

يُعدّ برنامج RustyWater، المعروف أيضاً باسم Archer RAT أو RUSTRIC، حصان طروادة معياري للتحكم عن بُعد، مصمم للتخفي والمرونة. بمجرد تثبيته، يجمع معلومات تفصيلية عن النظام المصاب، ويتحقق من وجود برامج الحماية المثبتة، ويثبت وجوده من خلال مفتاح في سجل نظام ويندوز.

ثم يبدأ الجهاز المزروع بالاتصال بخادم التحكم والسيطرة على الموقع 'nomercys.it[.]com'، مما يتيح التفاعل غير المتزامن. ومن خلال هذه القناة، يستطيع المشغلون تنفيذ الأوامر، وإدارة الملفات، وتوسيع الوظائف عبر وحدات إضافية، مما يدعم العمليات طويلة الأمد بعد الاختراق.

تطور الحرف اليدوية: من الاكتفاء الذاتي إلى الأدوات المخصصة

تاريخياً، اعتمدت مجموعة مادي ووتر بشكل كبير على برامج PowerShell وVBS، بالإضافة إلى أدوات الوصول عن بُعد المشروعة، لتنفيذ عمليات الوصول الأولية والأنشطة اللاحقة. ومع مرور الوقت، قللت المجموعة اعتمادها بشكل متعمد لصالح مجموعة متنامية من البرامج الضارة المصممة خصيصاً.

يشمل هذا النظام البيئي المخصص أدوات مثل Phoenix وUDPGangster وBugSleep (المعروف أيضًا باسم MuddyRot) وMuddyViper. ويعكس اعتماد البرامج الخبيثة المبنية على لغة Rust تحولًا نحو قدرات أكثر تنظيمًا ووحداتية وأقل تشويشًا، ما يجعل تحليلها واكتشافها أكثر صعوبة.

نشاط أوسع: روستريك خارج الشرق الأوسط

في أواخر ديسمبر 2025، أفاد باحثون باستخدام برنامج RUSTRIC في سلسلة من عمليات الاختراق التي استهدفت شركات تكنولوجيا المعلومات، ومزودي الخدمات المُدارة، وإدارات الموارد البشرية، وشركات تطوير البرمجيات في إسرائيل. ويجري تتبع هذه المجموعة من الأنشطة تحت مسمى UNG0801 وعملية IconCat.

تؤكد هذه النتائج أن RustyWater ليس تجربة معزولة، بل هو عنصر نشط في مجموعة أدوات MuddyWater الهجومية المتنامية.

الآثار الاستراتيجية: خصم أكثر نضجاً

يُبرز ظهور برنامج RustyWater استمرار شركة MuddyWater في الاستثمار في برامج خبيثة مصممة خصيصًا للبقاء لفترات طويلة، والتوسع التدريجي، والتخفي. ويشير هذا التطور إلى نضج أكبر في استراتيجيتها التشغيلية، حيث تعتمد على أدوات تدعم الوصول الهادئ طويل الأمد بدلاً من الأنشطة العلنية التي تعتمد بشكل كبير على البرامج النصية.

بالنسبة للمدافعين، يعزز هذا التطور الحاجة إلى التدقيق في طُعم التصيد الاحتيالي القائم على المستندات، ومراقبة آليات الاستمرارية القائمة على السجل، وفحص الاتصالات الصادرة غير العادية عن كثب، لا سيما تلك المرتبطة بعائلات البرامج الضارة Rust التي تم رصدها حديثًا.