RustyWater RAT

این گروه تهدید مرتبط با ایران که عموماً با نام MuddyWater شناخته می‌شود، به یک کمپین فیشینگ هدفمند جدید نسبت داده شده است که سازمان‌های دیپلماتیک، دریایی، مالی و مخابراتی در سراسر خاورمیانه را هدف قرار داده است. این فعالیت بر روی یک ایمپلنت مبتنی بر Rust به نام RustyWater متمرکز است که گام دیگری در تکامل مداوم این گروه به سمت بدافزارهای سفارشی‌سازی شده است.

گروه MuddyWater که با نام‌های Mango Sandstorm، Static Kitten و TA450 نیز ردیابی می‌شود، به طور گسترده به عنوان گروهی که از طرف وزارت اطلاعات و امنیت ایران (MOIS) فعالیت می‌کند، ارزیابی می‌شود. این گروه حداقل از سال ۲۰۱۷ فعال بوده و تمرکز مداوم خود را بر اهداف دولتی و بخش خصوصی منطقه‌ای حفظ کرده است.

ناقل عفونت: اسناد تسلیحاتی و فریب بصری

زنجیره حمله نسبتاً ساده اما مؤثر است. قربانیان ایمیل‌های فیشینگ هدفمندی دریافت می‌کنند که طوری طراحی شده‌اند که شبیه دستورالعمل‌های رسمی امنیت سایبری به نظر برسند. این پیام‌ها حاوی یک پیوست مخرب مایکروسافت ورد هستند که از جعل آیکون برای مشروع جلوه دادن خود استفاده می‌کند.

وقتی سند باز می‌شود، از کاربر خواسته می‌شود که «محتوا را فعال کند». پذیرش این درخواست، یک ماکروی VBA مخرب را فعال می‌کند که بار داده‌ی مبتنی بر Rust را بارگذاری و اجرا می‌کند. این مرحله‌ی مهندسی اجتماعی برای موفقیت این کمپین همچنان حیاتی است.

قابلیت‌های بدافزار: درون ایمپلنت RustyWater

RustyWater که با نام‌های Archer RAT یا RUSTRIC نیز شناخته می‌شود، به عنوان یک تروجان دسترسی از راه دور ماژولار عمل می‌کند که برای مخفی‌کاری و انعطاف‌پذیری طراحی شده است. پس از استقرار، اطلاعات دقیقی در مورد سیستم آلوده جمع‌آوری می‌کند، محصولات امنیتی نصب شده را بررسی می‌کند و از طریق یک کلید رجیستری ویندوز، پایداری خود را ایجاد می‌کند.

سپس این بدافزار با یک سرور فرمان و کنترل در آدرس 'nomercys.it[.]com' ارتباط برقرار می‌کند و تعامل ناهمزمان را امکان‌پذیر می‌سازد. از طریق این کانال، اپراتورها می‌توانند دستورات را اجرا کنند، فایل‌ها را مدیریت کنند و عملکرد را از طریق ماژول‌های اضافی گسترش دهند و از عملیات پس از نفوذ طولانی‌مدت پشتیبانی کنند.

تکامل صنایع دستی: از زندگی در طبیعت تا ابزارهای سفارشی

از نظر تاریخی، MuddyWater به شدت به PowerShell و VBS loaderها، همراه با ابزارهای دسترسی از راه دور قانونی، برای انجام دسترسی اولیه و فعالیت‌های بعدی متکی بود. با گذشت زمان، این گروه عمداً این وابستگی را به نفع مجموعه‌ای رو به رشد از بدافزارهای سفارشی کاهش داده است.

این اکوسیستم سفارشی شامل ابزارهایی مانند Phoenix، UDPGangster، BugSleep (که MuddyRot نیز نامیده می‌شود) و MuddyViper است. پذیرش ایمپلنت‌های مبتنی بر Rust نشان دهنده‌ی تغییر به سمت قابلیت‌های ساختاریافته‌تر، ماژولارتر و کم‌صداتر است که تجزیه و تحلیل و تشخیص آنها دشوارتر است.

فعالیت گسترده‌تر: RUSTRIC فراتر از خاورمیانه

در اواخر دسامبر ۲۰۲۵، محققان از استفاده از RUSTRIC در مجموعه‌ای مرتبط از نفوذها که شرکت‌های فناوری اطلاعات، ارائه دهندگان خدمات مدیریت‌شده، بخش‌های منابع انسانی و شرکت‌های توسعه نرم‌افزار در اسرائیل را هدف قرار می‌داد، گزارش دادند. این خوشه از فعالیت‌ها با عنوان UNG0801 و Operation IconCat ردیابی می‌شود.

این یافته‌ها تأکید می‌کنند که RustyWater یک آزمایش مجزا نیست، بلکه یک جزء فعال از مجموعه ابزارهای تهاجمی رو به گسترش MuddyWater است.

پیامدهای استراتژیک: یک دشمن پخته‌تر

ظهور RustyWater نشان‌دهنده‌ی سرمایه‌گذاری مداوم MuddyWater در بدافزارهای هدفمندی است که برای ماندگاری، گسترش ماژولار و گریز طراحی شده‌اند. این پیشرفت نشان‌دهنده‌ی یک وضعیت عملیاتی بالغ‌تر است، با ابزاری که از دسترسی بی‌سروصداتر و بلندمدت‌تر به جای فعالیت‌های آشکار و سنگین اسکریپت پشتیبانی می‌کند.

برای مدافعان، این تکامل، نیاز به بررسی دقیق فریب‌های فیشینگ مبتنی بر سند، نظارت بر مکانیسم‌های پایداری مبتنی بر رجیستری و بررسی دقیق اتصالات خروجی غیرمعمول، به ویژه آنهایی که با خانواده‌های بدافزار Rust که اخیراً مشاهده شده‌اند، مرتبط هستند را تقویت می‌کند.