RustyWater RAT
Iranski akter prijetnje, poznatiji kao MuddyWater, pripisan je novoj spear-phishing kampanji usmjerenoj na diplomatske, pomorske, financijske i telekomunikacijske organizacije diljem Bliskog istoka. Aktivnost se usredotočuje na implantat temeljen na Rustu nazvan RustyWater, što označava još jedan korak u stabilnoj evoluciji grupe prema prilagođenom zlonamjernom softveru.
Također poznata pod imenima Mango Sandstorm, Static Kitten i TA450, MuddyWater se smatra dijelom iranskog Ministarstva obavještajnih poslova i sigurnosti (MOIS). Grupa je aktivna najmanje od 2017. godine i stalno se fokusira na ciljeve regionalne vlade i privatnog sektora.
Sadržaj
Vektor zaraze: Oružani dokumenti i vizualna obmana
Lanac napada je relativno jednostavan, ali učinkovit. Žrtve primaju e-poruke s ciljem krađe identiteta (spear phishing) izrađene da izgledaju kao službene smjernice za kibernetičku sigurnost. Ove poruke sadrže zlonamjerni privitak Microsoft Worda koji koristi lažiranje ikona kako bi izgledao legitimno.
Kada se dokument otvori, od korisnika se traži da 'Omogući sadržaj'. Prihvaćanje ovog zahtjeva pokreće zlonamjernu VBA makronaredbu koja ispušta i izvršava korisni teret temeljen na Rustu. Ovaj korak socijalnog inženjeringa ostaje ključan za uspjeh kampanje.
Mogućnosti zlonamjernog softvera: Unutar implantata RustyWater
RustyWater, također poznat kao Archer RAT ili RUSTRIC, funkcionira kao modularni trojanac za daljinski pristup dizajniran za prikrivenost i fleksibilnost. Nakon implementacije prikuplja detaljne informacije o zaraženom sustavu, provjerava instalirane sigurnosne proizvode i uspostavlja postojanost putem ključa Windows registra.
Implantat zatim inicira komunikaciju s poslužiteljem za naredbe i upravljanje na 'nomercys.it[.]com', omogućujući asinkronu interakciju. Putem ovog kanala operateri mogu izvršavati naredbe, upravljati datotekama i proširovati funkcionalnost putem dodatnih modula, podržavajući dugoročne operacije nakon kompromitiranja.
Evolucija obrta: Od života od zemlje do izrade alata po narudžbi
Povijesno gledano, MuddyWater se uvelike oslanjao na PowerShell i VBS učitavače, zajedno s legitimnim alatima za udaljeni pristup, za provođenje početnog pristupa i naknadnih aktivnosti. Tijekom vremena, grupa je namjerno smanjila tu ovisnost u korist rastućeg portfelja prilagođenog zlonamjernog softvera.
Ovaj prilagođeni ekosustav uključuje alate kao što su Phoenix, UDPGangster, BugSleep (također nazvan MuddyRot) i MuddyViper. Usvajanje implantata temeljenih na Rustu odražava pomak prema strukturiranijim, modularnijim i tišim mogućnostima koje je teže analizirati i otkriti.
Šira aktivnost: RUSTRIC Izvan Bliskog istoka
Krajem prosinca 2025. istraživači su izvijestili o korištenju RUSTRIC-a u povezanom skupu upada usmjerenih na tvrtke informacijske tehnologije, pružatelje upravljanih usluga, odjele ljudskih resursa i tvrtke za razvoj softvera u Izraelu. Taj skup aktivnosti prati se kao UNG0801 i Operacija IconCat.
Ovi nalazi naglašavaju da RustyWater nije izolirani eksperiment, već aktivna komponenta MuddyWaterovog rastućeg ofenzivnog seta alata.
Strateške implikacije: Zreliji protivnik
Pojava RustyWatera naglašava kontinuirano ulaganje MuddyWatera u namjenski izrađen zlonamjerni softver dizajniran za trajnost, modularno širenje i izbjegavanje. Ovaj napredak signalizira zreliji operativni stav, s alatima koji podržavaju tiši, dugoročniji pristup, a ne otvorenu aktivnost temeljenu na skriptama.
Za branitelje, ova evolucija pojačava potrebu za proučavanjem phishing mamaca temeljenih na dokumentima, praćenjem mehanizama perzistencije temeljenih na registru i pomnim ispitivanjem neobičnih odlaznih veza, posebno onih povezanih s novootkrivenim obiteljima zlonamjernog softvera Rust.
