RustyWater RAT
Powiązany z Iranem cyberprzestępca, powszechnie znany jako MuddyWater, został przypisany do nowej kampanii spear phishingu, wymierzonej w organizacje dyplomatyczne, morskie, finansowe i telekomunikacyjne na Bliskim Wschodzie. Aktywność koncentruje się na implancie opartym na Rust o nazwie RustyWater, co stanowi kolejny krok w stopniowej ewolucji grupy w kierunku tworzenia oprogramowania na zamówienie.
MuddyWater, śledzony również pod nazwami Mango Sandstorm, Static Kitten i TA450, jest powszechnie uważany za działającego w imieniu irańskiego Ministerstwa Wywiadu i Bezpieczeństwa (MOIS). Grupa działa co najmniej od 2017 roku i stale koncentruje się na celach władz regionalnych i sektora prywatnego.
Spis treści
Wektor infekcji: dokumenty będące bronią i wizualne oszustwa
Łańcuch ataku jest stosunkowo prosty, ale skuteczny. Ofiary otrzymują e-maile typu spear phishing, które mają przypominać oficjalne wytyczne dotyczące cyberbezpieczeństwa. Wiadomości te zawierają złośliwy załącznik do programu Microsoft Word, który wykorzystuje podszywanie się pod ikony, aby sprawiać wrażenie legalnego.
Po otwarciu dokumentu użytkownik jest proszony o „Włączenie zawartości”. Zaakceptowanie tego żądania uruchamia złośliwe makro VBA, które usuwa i uruchamia ładunek oparty na języku Rust. Ten krok socjotechniczny pozostaje kluczowy dla sukcesu kampanii.
Możliwości złośliwego oprogramowania: Wewnątrz implantu RustyWater
RustyWater, znany również jako Archer RAT lub RUSTRIC, działa jako modułowy trojan zdalnego dostępu, zaprojektowany z myślą o ukryciu i elastyczności. Po wdrożeniu zbiera szczegółowe informacje o zainfekowanym systemie, sprawdza zainstalowane produkty zabezpieczające i ustanawia trwałość za pomocą klucza rejestru systemu Windows.
Następnie implant inicjuje komunikację z serwerem poleceń i kontroli pod adresem „nomercys.it[.]com”, umożliwiając asynchroniczną interakcję. Za pośrednictwem tego kanału operatorzy mogą wykonywać polecenia, zarządzać plikami i rozszerzać funkcjonalność za pomocą dodatkowych modułów, wspierając długoterminowe operacje po wystąpieniu zagrożenia.
Ewolucja Tradecraft: od rolnictwa opartego na uprawie roli do produkcji narzędzi na zamówienie
Historycznie rzecz biorąc, MuddyWater w dużym stopniu polegał na programach ładujących PowerShell i VBS, a także legalnych narzędziach dostępu zdalnego, zarówno do przeprowadzania początkowego dostępu, jak i dalszych działań. Z czasem grupa celowo ograniczyła to uzależnienie na rzecz rosnącego portfolio dedykowanego złośliwego oprogramowania.
Ten niestandardowy ekosystem obejmuje narzędzia takie jak Phoenix, UDPGangster, BugSleep (znany również jako MuddyRot) i MuddyViper. Wprowadzenie implantów opartych na Rust odzwierciedla przejście w kierunku bardziej ustrukturyzowanych, modułowych i mniej hałaśliwych funkcji, które są trudniejsze do analizy i wykrycia.
Szersza działalność: RUSTRIC poza Bliskim Wschodem
Pod koniec grudnia 2025 roku badacze zgłosili użycie RUSTRIC w powiązanej serii włamań wymierzonych w firmy informatyczne, dostawców usług zarządzanych, działy kadr i firmy zajmujące się tworzeniem oprogramowania w Izraelu. Ten klaster aktywności jest śledzony jako UNG0801 i Operation IconCat.
Odkrycia te podkreślają, że RustyWater nie jest odosobnionym eksperymentem, lecz aktywnym elementem coraz szerszego zestawu narzędzi ofensywnych MuddyWater.
Implikacje strategiczne: bardziej dojrzały przeciwnik
Pojawienie się RustyWater podkreśla ciągłe inwestycje MuddyWater w oprogramowanie złośliwe, zaprojektowane z myślą o trwałości, modułowej rozbudowie i unikaniu ataków. Ten postęp wskazuje na bardziej dojrzałą postawę operacyjną, z narzędziami wspierającymi cichszy, długoterminowy dostęp, a nie jawną, opartą na skryptach aktywność.
Dla obrońców prawdziwości tych zmian widać wyraźnie potrzebę dokładnego analizowania prób wyłudzenia informacji w dokumentach, monitorowania mechanizmów trwałości w rejestrze i dokładnego sprawdzania nietypowych połączeń wychodzących, w szczególności tych powiązanych z nowo zaobserwowanymi rodzinami złośliwego oprogramowania Rust.
