RustyWater RAT
Den iransk-tilknyttede trusselaktøren, ofte kjent som MuddyWater, har blitt tilskrevet en ny spear-phishing-kampanje rettet mot diplomatiske, maritime, finansielle og telekommunikasjonsorganisasjoner over hele Midtøsten. Aktiviteten er sentrert rundt et Rust-basert implantat kalt RustyWater, som markerer et nytt skritt i gruppens jevne utvikling mot spesialbygd skadevare.
MuddyWater, som også spores under navnene Mango Sandstorm, Static Kitten og TA450, er ansett å operere på vegne av Irans departement for etterretning og sikkerhet (MOIS). Gruppen har vært aktiv siden minst 2017 og opprettholder et vedvarende fokus på regionale myndigheter og mål for privat sektor.
Innholdsfortegnelse
Infeksjonsvektor: Våpenbesatte dokumenter og visuelt bedrag
Angrepskjeden er relativt enkel, men effektiv. Ofrene mottar spear-phishing-e-poster som er utformet for å se ut som offisielle retningslinjer for nettsikkerhet. Disse meldingene inneholder et ondsinnet Microsoft Word-vedlegg som utnytter ikonforfalskning for å virke legitimt.
Når dokumentet åpnes, blir brukeren bedt om å «Aktivere innhold». Godtakelse av denne forespørselen utløser en ondsinnet VBA-makro som sletter og kjører den Rust-baserte nyttelasten. Dette trinnet med sosial manipulering er fortsatt avgjørende for kampanjens suksess.
Skadevarekapasitet: Inne i RustyWater-implantatet
RustyWater, også kjent som Archer RAT eller RUSTRIC, fungerer som en modulær fjerntilgangstrojaner designet for stealth og fleksibilitet. Når den er distribuert, samler den detaljert informasjon om det infiserte systemet, sjekker for installerte sikkerhetsprodukter og etablerer persistens gjennom en Windows-registernøkkel.
Implantatet starter deretter kommunikasjon med en kommando- og kontrollserver på «nomercys.it[.]com», noe som muliggjør asynkron interaksjon. Gjennom denne kanalen kan operatører utføre kommandoer, administrere filer og utvide funksjonalitet via tilleggsmoduler, noe som støtter langsiktige operasjoner etter kompromittering.
Håndverksevolusjonen: Fra å leve av landet til spesialtilpasset verktøy
Historisk sett var MuddyWater i stor grad avhengig av PowerShell- og VBS-lastere, sammen med legitime verktøy for fjerntilgang, for å utføre både initial tilgang og oppfølgingsaktivitet. Over tid har gruppen bevisst redusert denne avhengigheten til fordel for en voksende portefølje av skreddersydd skadelig programvare.
Dette tilpassede økosystemet inkluderer verktøy som Phoenix, UDPGangster, BugSleep (også kalt MuddyRot) og MuddyViper. Bruken av Rust-baserte implantater gjenspeiler et skifte mot mer strukturerte, modulære og støysvake funksjoner som er vanskeligere å analysere og oppdage.
Bredere aktivitet: RUSTRIC utover Midtøsten
Sent i desember 2025 rapporterte forskere bruken av RUSTRIC i et relatert sett med innbrudd rettet mot IT-firmaer, leverandører av administrerte tjenester, personalavdelinger og programvareutviklingsselskaper i Israel. Denne aktivitetsklyngen spores som UNG0801 og Operation IconCat.
Disse funnene understreker at RustyWater ikke er et isolert eksperiment, men en aktiv del av MuddyWaters voksende offensive verktøysett.
Strategiske implikasjoner: En mer moden motstander
Fremveksten av RustyWater fremhever MuddyWaters fortsatte investering i spesialbygd skadevare designet for persistens, modulær utvidelse og omgåelse. Denne utviklingen signaliserer en mer moden driftsstilling, med verktøy som støtter roligere, mer langsiktig tilgang snarere enn åpenbar, skripttung aktivitet.
For forsvarere forsterker denne utviklingen behovet for å granske dokumentbaserte phishing-lokkespill, overvåke registerbaserte persistensmekanismer og nøye inspisere uvanlige utgående forbindelser, spesielt de som er knyttet til nylig observerte Rust-malwarefamilier.
