RustyWater RAT
ईरान से जुड़े एक आतंकी संगठन, जिसे आमतौर पर मडीवॉटर के नाम से जाना जाता है, पर मध्य पूर्व में राजनयिक, समुद्री, वित्तीय और दूरसंचार संगठनों को निशाना बनाकर किए गए एक नए स्पीयर-फ़िशिंग अभियान का आरोप लगाया गया है। यह गतिविधि रस्टीवॉटर नामक रस्ट-आधारित मैलवेयर पर केंद्रित है, जो इस समूह के कस्टम-निर्मित मैलवेयर की ओर निरंतर विकास का एक और कदम है।
मड्डीवॉटर को मैंगो सैंडस्टॉर्म, स्टैटिक किटन और TA450 जैसे नामों से भी जाना जाता है। व्यापक रूप से यह माना जाता है कि यह समूह ईरान के खुफिया और सुरक्षा मंत्रालय (MOIS) के लिए काम करता है। यह समूह कम से कम 2017 से सक्रिय है और क्षेत्रीय सरकारों और निजी क्षेत्र के लक्ष्यों पर लगातार ध्यान केंद्रित करता है।
विषयसूची
संक्रमण का वाहक: हथियारबंद दस्तावेज़ और दृश्य छल
हमले की प्रक्रिया अपेक्षाकृत सरल लेकिन प्रभावी है। पीड़ितों को ऐसे स्पियर-फ़िशिंग ईमेल प्राप्त होते हैं जो आधिकारिक साइबर सुरक्षा दिशानिर्देशों की तरह दिखते हैं। इन संदेशों में एक दुर्भावनापूर्ण माइक्रोसॉफ्ट वर्ड अटैचमेंट होता है जो आइकन स्पूफिंग का उपयोग करके वैध प्रतीत होता है।
दस्तावेज़ खुलने पर, उपयोगकर्ता को 'सामग्री सक्षम करें' का विकल्प मिलता है। इस अनुरोध को स्वीकार करने पर एक दुर्भावनापूर्ण VBA मैक्रो सक्रिय हो जाता है जो रस्ट-आधारित पेलोड को डालता और निष्पादित करता है। यह सोशल इंजीनियरिंग चरण अभियान की सफलता के लिए अत्यंत महत्वपूर्ण है।
मैलवेयर क्षमताएं: रस्टीवॉटर इम्प्लांट के भीतर
रस्टीवॉटर, जिसे आर्चर आरएटी या रस्ट्रिक के नाम से भी जाना जाता है, एक मॉड्यूलर रिमोट एक्सेस ट्रोजन है जिसे गुप्त और लचीले ढंग से काम करने के लिए डिज़ाइन किया गया है। एक बार फैल जाने के बाद, यह संक्रमित सिस्टम के बारे में विस्तृत जानकारी एकत्र करता है, इंस्टॉल किए गए सुरक्षा उत्पादों की जाँच करता है, और विंडोज रजिस्ट्री कुंजी के माध्यम से सिस्टम में स्थायी रूप से अपनी उपस्थिति स्थापित कर लेता है।
इसके बाद इम्प्लांट 'nomercys.it[.]com' पर स्थित कमांड-एंड-कंट्रोल सर्वर से संचार शुरू करता है, जिससे अतुल्यकालिक अंतःक्रिया संभव हो पाती है। इस चैनल के माध्यम से, ऑपरेटर कमांड निष्पादित कर सकते हैं, फ़ाइलों का प्रबंधन कर सकते हैं और अतिरिक्त मॉड्यूल के माध्यम से कार्यक्षमता का विस्तार कर सकते हैं, जिससे दीर्घकालिक पोस्ट-कॉम्प्रोमाइज़ संचालन में सहायता मिलती है।
कारीगरी का विकास: प्राकृतिक संसाधनों से जीवन यापन करने से लेकर अनुकूलित औजारों तक
ऐतिहासिक रूप से, MuddyWater समूह प्रारंभिक पहुँच और आगे की गतिविधियों को अंजाम देने के लिए PowerShell और VBS लोडर के साथ-साथ वैध रिमोट एक्सेस टूल पर बहुत अधिक निर्भर था। समय के साथ, समूह ने जानबूझकर इस निर्भरता को कम कर दिया है और इसके बजाय विशेष रूप से तैयार किए गए मैलवेयर के बढ़ते पोर्टफोलियो पर ध्यान केंद्रित किया है।
इस कस्टम इकोसिस्टम में फीनिक्स, यूडीपीगैंगस्टर, बगस्लीप (जिसे मडीरॉट भी कहा जाता है) और मडीवाइपर जैसे उपकरण शामिल हैं। रस्ट-आधारित इम्प्लांट्स को अपनाना अधिक संरचित, मॉड्यूलर और कम शोर वाली क्षमताओं की ओर एक बदलाव को दर्शाता है, जिनका विश्लेषण और पता लगाना कठिन है।
व्यापक गतिविधियाँ: मध्य पूर्व से परे रस्ट्रिक
दिसंबर 2025 के अंत में, शोधकर्ताओं ने इज़राइल में सूचना प्रौद्योगिकी फर्मों, प्रबंधित सेवा प्रदाताओं, मानव संसाधन विभागों और सॉफ्टवेयर विकास कंपनियों को लक्षित करने वाले घुसपैठ के एक संबंधित समूह में RUSTRIC के उपयोग की सूचना दी। गतिविधि के उस समूह को UNG0801 और ऑपरेशन IconCat के रूप में ट्रैक किया जा रहा है।
ये निष्कर्ष इस बात को रेखांकित करते हैं कि रस्टीवॉटर एक अलग-थलग प्रयोग नहीं है, बल्कि मडीवॉटर के बढ़ते आक्रामक टूलकिट का एक सक्रिय घटक है।
रणनीतिक निहितार्थ: एक अधिक परिपक्व प्रतिद्वंद्वी
RustyWater का उदय MuddyWater द्वारा दृढ़ता, मॉड्यूलर विस्तार और बचाव के लिए डिज़ाइन किए गए विशेष मैलवेयर में निरंतर निवेश को दर्शाता है। यह प्रगति एक अधिक परिपक्व परिचालन दृष्टिकोण का संकेत देती है, जिसमें ऐसे उपकरण शामिल हैं जो प्रत्यक्ष, स्क्रिप्ट-आधारित गतिविधि के बजाय शांत, दीर्घकालिक पहुँच का समर्थन करते हैं।
सुरक्षाकर्मियों के लिए, यह विकास दस्तावेज़-आधारित फ़िशिंग प्रलोभनों की गहन जांच करने, रजिस्ट्री-आधारित निरंतरता तंत्रों की निगरानी करने और असामान्य आउटबाउंड कनेक्शनों, विशेष रूप से नए देखे गए रस्ट मैलवेयर परिवारों से जुड़े कनेक्शनों का बारीकी से निरीक्षण करने की आवश्यकता को बल देता है।
