RustyWater RAT
Уязвимая группа, связанная с Ираном и известная как MuddyWater, причастна к новой фишинговой кампании, направленной на дипломатические, морские, финансовые и телекоммуникационные организации на Ближнем Востоке. В основе этой деятельности лежит вредоносная программа на основе языка Rust под названием RustyWater, что знаменует собой еще один шаг в неуклонной эволюции группы в сторону создания собственных вредоносных программ.
Группа MuddyWater, также отслеживаемая под названиями Mango Sandstorm, Static Kitten и TA450, по широкой оценке, действует от имени Министерства разведки и безопасности Ирана (MOIS). Группа активна как минимум с 2017 года и постоянно фокусируется на объектах регионального правительства и частного сектора.
Оглавление
Вектор заражения: Документы, превращенные в оружие, и визуальный обман.
Схема атаки относительно проста, но эффективна. Жертвы получают целевые фишинговые электронные письма, замаскированные под официальные инструкции по кибербезопасности. Эти сообщения содержат вредоносное вложение в формате Microsoft Word, которое использует подмену значков, чтобы выглядеть правдоподобно.
При открытии документа пользователю предлагается «Включить контент». Принятие этого запроса запускает вредоносный макрос VBA, который создает и выполняет полезную нагрузку на основе Rust. Этот этап социальной инженерии остается критически важным для успеха кампании.
Возможности вредоносного ПО: что скрывается внутри имплантата RustyWater.
RustyWater, также известный как Archer RAT или RUSTRIC, представляет собой модульный троян удаленного доступа, разработанный для скрытного и гибкого использования. После развертывания он собирает подробную информацию об зараженной системе, проверяет наличие установленных средств безопасности и обеспечивает постоянное присутствие через ключ реестра Windows.
Затем имплантат инициирует связь с сервером управления и контроля по адресу 'nomercys.it[.]com', обеспечивая асинхронное взаимодействие. Через этот канал операторы могут выполнять команды, управлять файлами и расширять функциональность с помощью дополнительных модулей, поддерживая долгосрочные операции после взлома.
Эволюция ремесленного мастерства: от жизни за счет даров природы до изготовления инструментов на заказ.
Исторически сложилось так, что MuddyWater в значительной степени полагалась на загрузчики PowerShell и VBS, а также на легитимные инструменты удаленного доступа для осуществления как первоначального доступа, так и последующих действий. Со временем группа намеренно уменьшила эту зависимость в пользу растущего портфеля специально разработанного вредоносного ПО.
Эта пользовательская экосистема включает в себя такие инструменты, как Phoenix, UDPGangster, BugSleep (также известный как MuddyRot) и MuddyViper. Внедрение имплантатов на основе Rust отражает сдвиг в сторону более структурированных, модульных и малошумных возможностей, которые сложнее анализировать и обнаруживать.
Более широкая деятельность: RUSTRIC за пределами Ближнего Востока
В конце декабря 2025 года исследователи сообщили об использовании RUSTRIC в серии связанных с этим атак, направленных на компании информационных технологий, поставщиков управляемых услуг, отделы кадров и компании по разработке программного обеспечения в Израиле. Эта группа атак отслеживается под номерами UNG0801 и Operation IconCat.
Эти результаты подчеркивают, что RustyWater — это не изолированный эксперимент, а активный компонент расширяющегося арсенала наступательных действий MuddyWater.
Стратегические последствия: более зрелый противник
Появление RustyWater подчеркивает продолжающиеся инвестиции MuddyWater в специализированное вредоносное ПО, разработанное для обеспечения постоянного присутствия, модульного расширения и обхода защиты. Этот прогресс свидетельствует о более зрелой операционной стратегии с инструментами, поддерживающими более тихий и длительный доступ, а не открытую, ресурсоемкую скриптовую деятельность.
Для специалистов по защите от киберпреступлений эта эволюция усиливает необходимость тщательного анализа фишинговых приманок, основанных на документах, мониторинга механизмов обеспечения устойчивости в реестре и внимательного изучения необычных исходящих соединений, особенно тех, которые связаны с недавно обнаруженными семействами вредоносных программ на языке Rust.
