RustyWater RAT
Ang aktor ng banta na may kaugnayan sa Iran, karaniwang kilala bilang MuddyWater, ay iniuugnay sa isang bagong kampanya ng spear-phishing na naglalayong sa mga organisasyong diplomatiko, maritima, pinansyal, at telekomunikasyon sa buong Gitnang Silangan. Ang aktibidad ay nakasentro sa isang implant na nakabase sa Rust na tinatawag na RustyWater, na nagmamarka ng isa pang hakbang sa patuloy na ebolusyon ng grupo patungo sa custom-built na malware.
Tinatawag ding Mango Sandstorm, Static Kitten, at TA450, ang MuddyWater ay malawakang tinatayang nagpapatakbo sa ngalan ng Ministry of Intelligence and Security (MOIS) ng Iran. Ang grupo ay aktibo simula pa noong 2017 at patuloy na nakatuon sa mga target ng pamahalaang panrehiyon at pribadong sektor.
Talaan ng mga Nilalaman
Sangkap ng Impeksyon: Mga Dokumentong Ginamit ang Sandata at Panlilinlang na Biswal
Ang kadena ng pag-atake ay medyo simple ngunit epektibo. Ang mga biktima ay nakakatanggap ng mga email na spear-phishing na ginawa upang magmukhang opisyal na gabay sa cybersecurity. Ang mga mensaheng ito ay may dalang malisyosong attachment sa Microsoft Word na gumagamit ng icon spoofing upang magmukhang lehitimo.
Kapag nabuksan na ang dokumento, hihilingin sa user na 'Paganahin ang nilalaman.' Ang pagtanggap sa kahilingang ito ay magti-trigger ng isang malisyosong VBA macro na magde-drop at magpapatakbo ng Rust-based payload. Ang hakbang na ito sa social engineering ay nananatiling mahalaga sa tagumpay ng kampanya.
Mga Kakayahan ng Malware: Sa Loob ng RustyWater Implant
Ang RustyWater, kilala rin bilang Archer RAT o RUSTRIC, ay gumagana bilang isang modular remote access trojan na idinisenyo para sa stealth at flexibility. Kapag na-deploy na, nangongolekta ito ng detalyadong impormasyon tungkol sa nahawaang sistema, sinusuri ang mga naka-install na produkto ng seguridad, at nagtatatag ng persistence sa pamamagitan ng isang Windows Registry key.
Pagkatapos, sisimulan ng implant ang komunikasyon sa isang command-and-control server sa 'nomercys.it[.]com', na nagbibigay-daan sa asynchronous interaction. Sa pamamagitan ng channel na ito, maaaring isagawa ng mga operator ang mga command, pamahalaan ang mga file, at palawakin ang functionality sa pamamagitan ng mga karagdagang module, na sumusuporta sa mga pangmatagalang operasyon pagkatapos ng kompromiso.
Ebolusyon ng Tradecraft: Mula sa Pamumuhay sa Labas ng Lupa Tungo sa Pasadyang Paggamit ng mga Kagamitan
Sa kasaysayan, ang MuddyWater ay lubos na umaasa sa PowerShell at VBS loaders, kasama ang mga lehitimong remote access tool, upang magsagawa ng parehong initial access at follow-on activity. Sa paglipas ng panahon, sadyang binawasan ng grupo ang pagdependeng iyon pabor sa lumalaking portfolio ng bespoke malware.
Kasama sa custom ecosystem na ito ang mga tool tulad ng Phoenix, UDPGangster, BugSleep (tinatawag ding MuddyRot), at MuddyViper. Ang paggamit ng mga Rust-based implant ay sumasalamin sa isang paglipat patungo sa mas nakabalangkas, modular, at mas mababang ingay na mga kakayahan na mas mahirap suriin at matukoy.
Mas Malawak na Aktibidad: RUSTRIC Higit Pa sa Gitnang Silangan
Noong huling bahagi ng Disyembre 2025, iniulat ng mga mananaliksik ang paggamit ng RUSTRIC sa isang kaugnay na hanay ng mga panghihimasok na tumatarget sa mga kumpanya ng teknolohiya ng impormasyon, mga tagapagbigay ng pinamamahalaang serbisyo, mga departamento ng human resources, at mga kumpanya ng pagbuo ng software sa Israel. Ang kumpol ng aktibidad na iyon ay sinusubaybayan bilang UNG0801 at Operation IconCat.
Binibigyang-diin ng mga natuklasang ito na ang RustyWater ay hindi isang nakahiwalay na eksperimento kundi isang aktibong bahagi ng lumalawak na toolkit ng opensiba ng MuddyWater.
Mga Istratehikong Implikasyon: Isang Mas Matandang Kalaban
Ang paglitaw ng RustyWater ay nagpapakita ng patuloy na pamumuhunan ng MuddyWater sa mga malware na sadyang ginawa para sa persistence, modular expansion, at evasion. Ang pag-unlad na ito ay nagpapahiwatig ng isang mas mature na operasyon, na may mga kagamitang sumusuporta sa mas tahimik at mas pangmatagalang access sa halip na lantaran at maraming script na aktibidad.
Para sa mga tagapagtanggol, pinatitibay ng ebolusyong ito ang pangangailangang suriing mabuti ang mga pang-akit na phishing na nakabatay sa dokumento, subaybayan ang mga mekanismo ng persistence na nakabatay sa registry, at maingat na siyasatin ang mga hindi pangkaraniwang outbound na koneksyon, lalo na ang mga nauugnay sa mga bagong naobserbahang pamilya ng Rust malware.
