RustyWater ȘOBOLAN
Actorul malware cu legături cu Iranul, cunoscut sub numele de MuddyWater, a fost atribuit unei noi campanii de spear-phishing care viza organizații diplomatice, maritime, financiare și de telecomunicații din Orientul Mijlociu. Activitatea se concentrează pe un implant bazat pe Rust, numit RustyWater, marcând un alt pas în evoluția constantă a grupului către malware personalizat.
Urmărită și sub denumirile Mango Sandstorm, Static Kitten și TA450, MuddyWater este evaluată pe scară largă ca operând în numele Ministerului de Informații și Securitate (MOIS) din Iran. Gruparea este activă cel puțin din 2017 și se concentrează în mod constant pe ținte ale guvernului regional și ale sectorului privat.
Cuprins
Vector de infecție: documente transformate în arme și înșelăciune vizuală
Lanțul de atac este relativ simplu, dar eficient. Victimele primesc e-mailuri de tip spear-phishing, concepute pentru a părea ghiduri oficiale de securitate cibernetică. Aceste mesaje conțin un atașament Microsoft Word rău intenționat care folosește falsificarea pictogramelor pentru a părea legitime.
Când documentul este deschis, utilizatorului i se solicită să „Activeze conținutul”. Acceptarea acestei solicitări declanșează o macrocomandă VBA malițioasă care elimină și execută sarcina utilă bazată pe Rust. Acest pas de inginerie socială rămâne esențial pentru succesul campaniei.
Capacități malware: În interiorul implantului RustyWater
RustyWater, cunoscut și sub numele de Archer RAT sau RUSTRIC, funcționează ca un troian modular de acces la distanță, conceput pentru a fi discret și flexibil. Odată implementat, acesta colectează informații detaliate despre sistemul infectat, verifică dacă există produse de securitate instalate și stabilește persistența printr-o cheie de Registry Windows.
Implantul inițiază apoi comunicarea cu un server de comandă și control la adresa „nomercys.it[.]com”, permițând interacțiunea asincronă. Prin intermediul acestui canal, operatorii pot executa comenzi, gestiona fișiere și extinde funcționalități prin intermediul unor module suplimentare, oferind suport operațiunilor pe termen lung post-compromis.
Evoluția meșteșugurilor: De la viața în gospodărie la unelte personalizate
Din punct de vedere istoric, MuddyWater s-a bazat în mare măsură pe încărcătoare PowerShell și VBS, împreună cu instrumente legitime de acces la distanță, pentru a efectua atât accesul inițial, cât și activitatea ulterioară. De-a lungul timpului, grupul a redus în mod deliberat această dependență în favoarea unui portofoliu tot mai mare de programe malware personalizate.
Acest ecosistem personalizat include instrumente precum Phoenix, UDPGangster, BugSleep (numit și MuddyRot) și MuddyViper. Adoptarea implanturilor bazate pe Rust reflectă o trecere către capacități mai structurate, modulare și cu zgomot redus, care sunt mai greu de analizat și detectat.
Activitate mai largă: RUSTRIC dincolo de Orientul Mijlociu
La sfârșitul lunii decembrie 2025, cercetătorii au raportat utilizarea RUSTRIC într-un set similar de intruziuni care au vizat firme de tehnologia informației, furnizori de servicii gestionate, departamente de resurse umane și companii de dezvoltare software din Israel. Acest grup de activități este urmărit ca UNG0801 și Operațiunea IconCat.
Aceste descoperiri subliniază faptul că RustyWater nu este un experiment izolat, ci o componentă activă a setului de instrumente ofensive în expansiune al MuddyWater.
Implicații strategice: Un adversar mai matur
Apariția RustyWater evidențiază investițiile continue ale MuddyWater în programe malware special concepute pentru persistență, expansiune modulară și evaziune. Această progresie semnalează o postură operațională mai matură, cu instrumente care permit accesul mai silențios și pe termen lung, în loc de activități evidente, bazate pe scripturi.
Pentru apărători, această evoluție întărește necesitatea de a examina cu atenție amenințările de phishing bazate pe documente, de a monitoriza mecanismele de persistență bazate pe registre și de a inspecta îndeaproape conexiunile de ieșire neobișnuite, în special cele asociate cu familiile de malware Rust recent observate.
