RustyWater RAT
O grupo de ameaças cibernéticas MuddyWater, ligado ao Irã, foi apontado como responsável por uma nova campanha de spear-phishing direcionada a organizações diplomáticas, marítimas, financeiras e de telecomunicações em todo o Oriente Médio. A atividade se concentra em um implante baseado em Rust, apelidado de RustyWater, marcando mais um passo na evolução constante do grupo em direção a malwares personalizados.
Também conhecido pelos nomes Mango Sandstorm, Static Kitten e TA450, o grupo MuddyWater é amplamente considerado como atuante em nome do Ministério da Inteligência e Segurança do Irã (MOIS). O grupo está ativo desde pelo menos 2017 e mantém um foco persistente em alvos governamentais e do setor privado na região.
Índice
Vetor de Infecção: Documentos Armamentizados e Engano Visual
A cadeia de ataque é relativamente simples, mas eficaz. As vítimas recebem e-mails de spear-phishing elaborados para se parecerem com orientações oficiais de segurança cibernética. Essas mensagens contêm um anexo malicioso do Microsoft Word que utiliza falsificação de ícones para parecer legítimo.
Ao abrir o documento, o usuário é solicitado a "Habilitar o conteúdo". Aceitar essa solicitação aciona uma macro VBA maliciosa que instala e executa o payload baseado em Rust. Essa etapa de engenharia social continua sendo crucial para o sucesso da campanha.
Capacidades do Malware: Dentro do Implante RustyWater
O RustyWater, também conhecido como Archer RAT ou RUSTRIC, funciona como um trojan de acesso remoto modular, projetado para ser furtivo e flexível. Uma vez implantado, ele coleta informações detalhadas sobre o sistema infectado, verifica os produtos de segurança instalados e estabelece persistência por meio de uma chave do Registro do Windows.
O implante inicia então a comunicação com um servidor de comando e controle em 'nomercys.it[.]com', permitindo a interação assíncrona. Através deste canal, os operadores podem executar comandos, gerenciar arquivos e estender a funcionalidade por meio de módulos adicionais, dando suporte a operações de longo prazo após a invasão.
Evolução das Artesanatos: Da Autossuficiência à Criação de Ferramentas Personalizadas
Historicamente, a MuddyWater dependia fortemente de carregadores PowerShell e VBS, juntamente com ferramentas legítimas de acesso remoto, para realizar tanto o acesso inicial quanto as atividades subsequentes. Com o tempo, o grupo reduziu deliberadamente essa dependência em favor de um portfólio crescente de malware personalizado.
Este ecossistema personalizado inclui ferramentas como Phoenix, UDPGangster, BugSleep (também chamado de MuddyRot) e MuddyViper. A adoção de implantes baseados em Rust reflete uma mudança em direção a capacidades mais estruturadas, modulares e com menos ruído, que são mais difíceis de analisar e detectar.
Atividades mais abrangentes: RUSTRIC além do Oriente Médio
No final de dezembro de 2025, pesquisadores relataram o uso do RUSTRIC em um conjunto relacionado de intrusões direcionadas a empresas de tecnologia da informação, provedores de serviços gerenciados, departamentos de recursos humanos e empresas de desenvolvimento de software em Israel. Esse conjunto de atividades está sendo monitorado como UNG0801 e Operação IconCat.
Essas descobertas reforçam a ideia de que o RustyWater não é um experimento isolado, mas sim um componente ativo do crescente arsenal ofensivo da MuddyWater.
Implicações Estratégicas: Um Adversário Mais Maduro
O surgimento do RustyWater destaca o investimento contínuo da MuddyWater em malware desenvolvido especificamente para persistência, expansão modular e evasão. Essa evolução sinaliza uma postura operacional mais madura, com ferramentas que suportam acesso mais discreto e de longo prazo, em vez de atividades ostensivas e com uso intensivo de scripts.
Para os profissionais de segurança, essa evolução reforça a necessidade de examinar minuciosamente as iscas de phishing baseadas em documentos, monitorar os mecanismos de persistência baseados em registros e inspecionar de perto as conexões de saída incomuns, principalmente aquelas associadas às famílias de malware Rust recém-observadas.
