RustyWater ROTTE
Den iransk-tilknyttede trusselsaktør, almindeligvis kendt som MuddyWater, er blevet tilskrevet en ny spear-phishing-kampagne rettet mod diplomatiske, maritime, finansielle og telekommunikationsorganisationer i hele Mellemøsten. Aktiviteten centrerer sig om et Rust-baseret implantat kaldet RustyWater, hvilket markerer endnu et skridt i gruppens stabile udvikling mod specialbygget malware.
MuddyWater, der også spores under navnene Mango Sandstorm, Static Kitten og TA450, vurderes i vid udstrækning at operere på vegne af Irans ministerium for efterretnings- og sikkerhedspolitik (MOIS). Gruppen har været aktiv siden mindst 2017 og har et vedvarende fokus på regionale regeringer og mål for den private sektor.
Indholdsfortegnelse
Infektionsvektor: Våbenbesatte dokumenter og visuelt bedrag
Angrebskæden er relativt simpel, men effektiv. Ofrene modtager spear-phishing-e-mails, der er udformet til at ligne officielle cybersikkerhedsvejledninger. Disse beskeder indeholder en ondsindet Microsoft Word-vedhæftning, der udnytter ikonforfalskning til at virke legitim.
Når dokumentet åbnes, bliver brugeren bedt om at "Aktiver indhold". Accept af denne anmodning udløser en ondsindet VBA-makro, der sletter og udfører den Rust-baserede nyttelast. Dette social engineering-trin er fortsat afgørende for kampagnens succes.
Malware-funktioner: Inde i RustyWater-implantatet
RustyWater, også kendt som Archer RAT eller RUSTRIC, fungerer som en modulær fjernadgangstrojan designet til at være skjult og fleksibel. Når den er installeret, indsamler den detaljerede oplysninger om det inficerede system, kontrollerer for installerede sikkerhedsprodukter og etablerer persistens via en Windows-registreringsnøgle.
Implantatet initierer derefter kommunikation med en kommando- og kontrolserver på 'nomercys.it[.]com', hvilket muliggør asynkron interaktion. Gennem denne kanal kan operatører udføre kommandoer, administrere filer og udvide funktionalitet via yderligere moduler, hvilket understøtter langvarige operationer efter kompromittering.
Håndværksudvikling: Fra at leve af jorden til specialværktøj
Historisk set har MuddyWater i høj grad brugt PowerShell og VBS-loadere, sammen med legitime fjernadgangsværktøjer, til at udføre både initial adgang og efterfølgende aktivitet. Over tid har gruppen bevidst reduceret denne afhængighed til fordel for en voksende portefølje af skræddersyet malware.
Dette brugerdefinerede økosystem inkluderer værktøjer som Phoenix, UDPGangster, BugSleep (også kaldet MuddyRot) og MuddyViper. Indførelsen af Rust-baserede implantater afspejler et skift mod mere strukturerede, modulære og støjsvage funktioner, der er sværere at analysere og detektere.
Bredere aktivitet: RUSTRIC ud over Mellemøsten
I slutningen af december 2025 rapporterede forskere brugen af RUSTRIC i en række beslægtede indbrud rettet mod it-virksomheder, managed service providers, HR-afdelinger og softwareudviklingsvirksomheder i Israel. Denne aktivitetsklynge spores som UNG0801 og Operation IconCat.
Disse resultater understreger, at RustyWater ikke er et isoleret eksperiment, men en aktiv del af MuddyWaters voksende offensive værktøjssæt.
Strategiske implikationer: En mere moden modstander
Fremkomsten af RustyWater fremhæver MuddyWaters fortsatte investering i specialbygget malware designet til persistens, modulær udvidelse og undvigelse. Denne udvikling signalerer en mere moden operationel holdning med værktøjer, der understøtter mere stille, langsigtet adgang snarere end åbenlys, script-tung aktivitet.
For forsvarere forstærker denne udvikling behovet for at granske dokumentbaserede phishing-lokkemidler, overvåge registerbaserede persistensmekanismer og nøje inspicere usædvanlige udgående forbindelser, især dem, der er forbundet med nyligt observerede Rust-malwarefamilier.
