RustyWater RAT
De aan Iran gelieerde dreigingsgroep MuddyWater wordt verantwoordelijk gehouden voor een nieuwe spear-phishingcampagne gericht op diplomatieke, maritieme, financiële en telecommunicatieorganisaties in het Midden-Oosten. De campagne draait om een op Rust gebaseerd implantaat genaamd RustyWater, wat een nieuwe stap markeert in de gestage evolutie van de groep naar op maat gemaakte malware.
MuddyWater, ook bekend onder de namen Mango Sandstorm, Static Kitten en TA450, opereert naar algemeen wordt aangenomen in opdracht van het Iraanse Ministerie van Inlichtingen en Veiligheid (MOIS). De groep is minstens sinds 2017 actief en richt zich voortdurend op regionale overheidsinstanties en de particuliere sector.
Inhoudsopgave
Infectievector: documenten die als wapen worden ingezet en visuele misleiding
De aanvalsketen is relatief eenvoudig maar effectief. Slachtoffers ontvangen spear-phishing-e-mails die eruitzien als officiële cybersecurity-richtlijnen. Deze berichten bevatten een kwaadaardige Microsoft Word-bijlage die gebruikmaakt van iconenvervalsing om legitiem te lijken.
Wanneer het document wordt geopend, wordt de gebruiker gevraagd om 'Inhoud inschakelen'. Het accepteren van dit verzoek activeert een kwaadaardige VBA-macro die de op Rust gebaseerde payload downloadt en uitvoert. Deze social engineering-stap blijft cruciaal voor het succes van de campagne.
Mogelijkheden van de malware: een kijkje in het RustyWater-implantaat
RustyWater, ook bekend als Archer RAT of RUSTRIC, functioneert als een modulaire remote access trojan die is ontworpen voor onopvallendheid en flexibiliteit. Eenmaal geïnstalleerd, verzamelt het gedetailleerde informatie over het geïnfecteerde systeem, controleert het op geïnstalleerde beveiligingsproducten en zorgt het voor persistentie via een Windows-registersleutel.
Het implantaat initieert vervolgens communicatie met een command-and-controlserver op 'nomercys.it[.]com', waardoor asynchrone interactie mogelijk wordt. Via dit kanaal kunnen operators commando's uitvoeren, bestanden beheren en de functionaliteit uitbreiden met extra modules, ter ondersteuning van langdurige post-compromisoperaties.
De evolutie van het ambacht: van leven van het land tot maatwerkgereedschap
Historisch gezien maakte MuddyWater veelvuldig gebruik van PowerShell en VBS-loaders, samen met legitieme tools voor toegang op afstand, voor zowel de initiële toegang als de daaropvolgende activiteiten. In de loop der tijd heeft de groep die afhankelijkheid bewust verminderd ten gunste van een groeiend portfolio aan op maat gemaakte malware.
Dit aangepaste ecosysteem omvat tools zoals Phoenix, UDPGangster, BugSleep (ook wel MuddyRot genoemd) en MuddyViper. De toepassing van op Rust gebaseerde implants weerspiegelt een verschuiving naar meer gestructureerde, modulaire en ruisarmere mogelijkheden die moeilijker te analyseren en te detecteren zijn.
Bredere activiteiten: RUSTRIC buiten het Midden-Oosten
Eind december 2025 meldden onderzoekers het gebruik van RUSTRIC bij een reeks gerelateerde inbraken gericht op IT-bedrijven, managed service providers, personeelsafdelingen en softwareontwikkelingsbedrijven in Israël. Deze reeks activiteiten wordt geregistreerd onder de namen UNG0801 en Operation IconCat.
Deze bevindingen onderstrepen dat RustyWater geen geïsoleerd experiment is, maar een actief onderdeel van MuddyWater's steeds groter wordende offensieve arsenaal.
Strategische implicaties: een meer volwassen tegenstander
De opkomst van RustyWater benadrukt MuddyWater's voortdurende investering in speciaal ontwikkelde malware die is ontworpen voor persistentie, modulaire uitbreiding en ontwijking. Deze ontwikkeling duidt op een meer volwassen operationele strategie, met tools die stillere, langdurige toegang ondersteunen in plaats van openlijke, script-intensieve activiteiten.
Voor verdedigers benadrukt deze ontwikkeling de noodzaak om phishingpogingen via documenten nauwkeurig te onderzoeken, persistentiemechanismen in het register te monitoren en ongebruikelijke uitgaande verbindingen, met name die welke verband houden met recent ontdekte Rust-malwarefamilies, nauwlettend te inspecteren.
