RustyWater RÅTTA
Den iranskkopplade hotaktören, allmänt känd som MuddyWater, har tillskrivits en ny spear-phishing-kampanj riktad mot diplomatiska, maritima, finansiella och telekommunikationsorganisationer i Mellanöstern. Aktiviteten kretsar kring ett Rust-baserat implantat kallat RustyWater, vilket markerar ytterligare ett steg i gruppens stadiga utveckling mot specialbyggd skadlig kod.
MuddyWater, som även spåras under namnen Mango Sandstorm, Static Kitten och TA450, bedöms allmänt agera på uppdrag av Irans underrättelse- och säkerhetsministerium (MOIS). Gruppen har varit aktiv sedan åtminstone 2017 och har ett ihållande fokus på mål från regionala myndigheter och den privata sektorn.
Innehållsförteckning
Infektionsvektor: Vapenförsedda dokument och visuellt bedrägeri
Attackkedjan är relativt enkel men effektiv. Offren får spear-phishing-mejl utformade för att se ut som officiella cybersäkerhetsriktlinjer. Dessa meddelanden innehåller en skadlig Microsoft Word-bilaga som utnyttjar ikonförfalskning för att verka legitim.
När dokumentet öppnas uppmanas användaren att "Aktivera innehåll". Att acceptera denna begäran utlöser ett skadligt VBA-makro som tar bort och kör den Rust-baserade nyttolasten. Detta sociala ingenjörsarbete är fortfarande avgörande för kampanjens framgång.
Skadlig kod: Inuti RustyWater-implantatet
RustyWater, även känt som Archer RAT eller RUSTRIC, fungerar som en modulär fjärråtkomsttrojan utformad för smygande och flexibel användning. När den väl är driftsatt samlar den in detaljerad information om det infekterade systemet, söker efter installerade säkerhetsprodukter och etablerar beständighet genom en Windows-registernyckel.
Implantatet initierar sedan kommunikation med en kommando- och kontrollserver på 'nomercys.it[.]com', vilket möjliggör asynkron interaktion. Genom denna kanal kan operatörer utföra kommandon, hantera filer och utöka funktionalitet via ytterligare moduler, vilket stöder långsiktiga operationer efter kompromettering.
Hantverksutveckling: Från att leva av landet till specialverktyg
Historiskt sett förlitade sig MuddyWater starkt på PowerShell- och VBS-laddare, tillsammans med legitima fjärråtkomstverktyg, för att utföra både initial åtkomst och efterföljande aktiviteter. Med tiden har gruppen medvetet minskat detta beroende till förmån för en växande portfölj av skräddarsydd skadlig kod.
Detta anpassade ekosystem inkluderar verktyg som Phoenix, UDPGangster, BugSleep (även kallat MuddyRot) och MuddyViper. Införandet av Rust-baserade implantat återspeglar ett skifte mot mer strukturerade, modulära och brusreducerade funktioner som är svårare att analysera och upptäcka.
Bredare aktivitet: RUSTRIC Bortom Mellanöstern
I slutet av december 2025 rapporterade forskare användningen av RUSTRIC i en relaterad uppsättning intrång riktade mot IT-företag, leverantörer av hanterade tjänster, personalavdelningar och mjukvaruutvecklingsföretag i Israel. Denna kluster av aktiviteter spåras som UNG0801 och Operation IconCat.
Dessa resultat understryker att RustyWater inte är ett isolerat experiment utan en aktiv del av MuddyWaters växande offensiva verktygslåda.
Strategiska implikationer: En mer mogen motståndare
Framväxten av RustyWater belyser MuddyWaters fortsatta investeringar i specialbyggd skadlig kod utformad för persistens, modulär expansion och undvikande av data. Denna utveckling signalerar en mer mogen operativ hållning, med verktyg som stöder tystare, mer långsiktig åtkomst snarare än öppen, skripttung aktivitet.
För försvarare förstärker denna utveckling behovet av att granska dokumentbaserade nätfiskeattacker, övervaka registerbaserade persistensmekanismer och noggrant inspektera ovanliga utgående anslutningar, särskilt de som är associerade med nyligen observerade Rust-familjer av skadlig kod.
