RustyWater RAT
L'autore della minaccia, legato all'Iran e comunemente noto come MuddyWater, è stato attribuito a una nuova campagna di spear-phishing rivolta a organizzazioni diplomatiche, marittime, finanziarie e di telecomunicazioni in tutto il Medio Oriente. L'attività si concentra su un impianto basato su Rust denominato RustyWater, che segna un altro passo nella costante evoluzione del gruppo verso malware personalizzati.
Rilevato anche con i nomi di Mango Sandstorm, Static Kitten e TA450, MuddyWater è ampiamente ritenuto un'organizzazione che opera per conto del Ministero dell'Intelligence e della Sicurezza iraniano (MOIS). Il gruppo è attivo almeno dal 2017 e mantiene un focus costante su obiettivi governativi regionali e del settore privato.
Sommario
Vettore di infezione: documenti trasformati in armi e inganno visivo
La catena di attacco è relativamente semplice ma efficace. Le vittime ricevono email di spear-phishing create per sembrare linee guida ufficiali sulla sicurezza informatica. Questi messaggi contengono un allegato dannoso di Microsoft Word che sfrutta lo spoofing delle icone per apparire legittimo.
All'apertura del documento, all'utente viene chiesto di "Abilitare il contenuto". Accettando questa richiesta, viene attivata una macro VBA dannosa che rilascia ed esegue il payload basato su Rust. Questa fase di ingegneria sociale rimane fondamentale per il successo della campagna.
Capacità del malware: all'interno dell'impianto RustyWater
RustyWater, noto anche come Archer RAT o RUSTRIC, funziona come un trojan modulare per l'accesso remoto, progettato per essere furtivo e flessibile. Una volta distribuito, raccoglie informazioni dettagliate sul sistema infetto, verifica la presenza di prodotti di sicurezza installati e stabilisce la persistenza tramite una chiave del Registro di sistema di Windows.
L'impianto avvia quindi la comunicazione con un server di comando e controllo su 'nomercys.it[.]com', consentendo l'interazione asincrona. Attraverso questo canale, gli operatori possono eseguire comandi, gestire file ed estendere le funzionalità tramite moduli aggiuntivi, supportando operazioni post-compromissione a lungo termine.
Evoluzione del mestiere: dalla vita basata sui prodotti della terra alla produzione di utensili personalizzati
Storicamente, MuddyWater si affidava in larga misura a PowerShell e ai caricatori VBS, insieme a strumenti di accesso remoto legittimi, sia per l'accesso iniziale che per le attività successive. Nel tempo, il gruppo ha deliberatamente ridotto tale dipendenza a favore di un portafoglio crescente di malware personalizzati.
Questo ecosistema personalizzato include strumenti come Phoenix, UDPGangster, BugSleep (chiamato anche MuddyRot) e MuddyViper. L'adozione di impianti basati su Rust riflette un passaggio verso funzionalità più strutturate, modulari e a basso rumore, più difficili da analizzare e rilevare.
Attività più ampia: RUSTRIC oltre il Medio Oriente
Alla fine di dicembre 2025, i ricercatori hanno segnalato l'uso di RUSTRIC in una serie correlata di intrusioni mirate ad aziende di tecnologia informatica, fornitori di servizi gestiti, dipartimenti delle risorse umane e società di sviluppo software in Israele. Questo cluster di attività è stato monitorato come UNG0801 e Operation IconCat.
Questi risultati sottolineano che RustyWater non è un esperimento isolato, bensì una componente attiva del crescente kit di strumenti offensivi di MuddyWater.
Implicazioni strategiche: un avversario più maturo
L'emergere di RustyWater evidenzia il continuo investimento di MuddyWater in malware appositamente progettati per la persistenza, l'espansione modulare e l'elusione. Questa progressione segnala un approccio operativo più maturo, con strumenti che supportano un accesso più silenzioso e a lungo termine, piuttosto che attività palesi e basate su script.
Per chi si occupa della difesa, questa evoluzione rafforza la necessità di analizzare attentamente le esche di phishing basate su documenti, monitorare i meccanismi di persistenza basati sul registro e analizzare attentamente le connessioni in uscita insolite, in particolare quelle associate alle famiglie di malware Rust recentemente osservate.
