Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós RustyWater Rat

RustyWater Rat

El Mezo el Programari maliciós, Amenaça persistent avançada (APT), Eines d'administració remota
Traduir a:

L'actor de pirateria vinculat a l'Iran, conegut comunament com a MuddyWater, ha estat atribuït a una nova campanya de spear-phishing dirigida a organitzacions diplomàtiques, marítimes, financeres i de telecomunicacions de tot l'Orient Mitjà. L'activitat se centra en un implant basat en Rust anomenat RustyWater, que marca un altre pas en l'evolució constant del grup cap a programari maliciós personalitzat.

També conegut amb els noms de Mango Sandstorm, Static Kitten i TA450, MuddyWater s'ha considerat àmpliament que opera en nom del Ministeri d'Intel·ligència i Seguretat (MOIS) de l'Iran. El grup ha estat actiu des d'almenys el 2017 i manté un enfocament persistent en objectius del govern regional i del sector privat.

Vector d'infecció: documents utilitzats com a arma i engany visual

La cadena d'atac és relativament senzilla però efectiva. Les víctimes reben correus electrònics de spear-phishing elaborats per semblar guies oficials de ciberseguretat. Aquests missatges contenen un fitxer adjunt maliciós de Microsoft Word que aprofita la suplantació d'icones per semblar legítim.

Quan s'obre el document, es demana a l'usuari que "Activi el contingut". L'acceptació d'aquesta sol·licitud activa una macro VBA maliciosa que elimina i executa la càrrega útil basada en Rust. Aquest pas d'enginyeria social continua sent crític per a l'èxit de la campanya.

Capacitats de programari maliciós: dins de l'implant RustyWater

RustyWater, també conegut com Archer RAT o RUSTRIC, funciona com un troià d'accés remot modular dissenyat per a la discreció i la flexibilitat. Un cop desplegat, recopila informació detallada sobre el sistema infectat, comprova si hi ha productes de seguretat instal·lats i estableix la persistència mitjançant una clau del registre de Windows.

L'implant inicia la comunicació amb un servidor de comandament i control a 'nomercys.it[.]com', permetent la interacció asíncrona. A través d'aquest canal, els operadors poden executar comandaments, gestionar fitxers i ampliar la funcionalitat mitjançant mòduls addicionals, cosa que permet operacions posteriors al compromís a llarg termini.

Evolució de l'artesania: de viure fora de la terra a eines personalitzades

Històricament, MuddyWater depenia en gran mesura dels carregadors de PowerShell i VBS, juntament amb eines d'accés remot legítimes, per dur a terme tant l'accés inicial com l'activitat posterior. Amb el temps, el grup ha reduït deliberadament aquesta dependència a favor d'una cartera creixent de programari maliciós a mida.

Aquest ecosistema personalitzat inclou eines com Phoenix, UDPGangster, BugSleep (també anomenat MuddyRot) i MuddyViper. L'adopció d'implants basats en Rust reflecteix un canvi cap a capacitats més estructurades, modulars i de menor soroll que són més difícils d'analitzar i detectar.

Activitat més àmplia: RÚSTIC més enllà de l'Orient Mitjà

A finals de desembre de 2025, uns investigadors van informar de l'ús de RUSTRIC en un conjunt relacionat d'intrusions dirigides a empreses de tecnologia de la informació, proveïdors de serveis gestionats, departaments de recursos humans i empreses de desenvolupament de programari a Israel. Aquest grup d'activitats s'està rastrejant com a UNG0801 i Operació IconCat.

Aquestes troballes subratllen que RustyWater no és un experiment aïllat, sinó un component actiu del conjunt d'eines ofensives en expansió de MuddyWater.

Implicacions estratègiques: un adversari més madur

L'aparició de RustyWater destaca la inversió contínua de MuddyWater en programari maliciós dissenyat específicament per a la persistència, l'expansió modular i l'evasió. Aquesta progressió indica una postura operativa més madura, amb eines que permeten un accés més silenciós i a llarg termini en lloc d'una activitat evident i amb molta informació sobre scripts.

Per als defensors, aquesta evolució reforça la necessitat d'examinar els esquers de phishing basats en documents, supervisar els mecanismes de persistència basats en registres i inspeccionar de prop les connexions sortints inusuals, especialment les associades a les famílies de programari maliciós Rust recentment observades.

Tendència

Completeu el procés d'autenticació. Estafa per...

Phishing, Correu brossa
Els correus electrònics inesperats que exigeixen una acció urgent són una eina habitual en la ciberdelinqüència moderna. Mantenir-se alerta és fonamental, ja que un sol clic descuidat pot exposar informació sensible o donar accés als atacants a comptes personals. L'estafa de correu electrònic "Complete The Authentication Process" és un clar exemple de com s'utilitzen missatges convincents per...

Més vist

Carregant...