RustyWater RAT
Nhóm tin tặc có liên hệ với Iran, thường được biết đến với tên gọi MuddyWater, được cho là đã thực hiện một chiến dịch tấn công lừa đảo có chủ đích mới nhắm vào các tổ chức ngoại giao, hàng hải, tài chính và viễn thông trên khắp Trung Đông. Hoạt động này tập trung vào một phần mềm độc hại dựa trên ngôn ngữ lập trình Rust có tên gọi RustyWater, đánh dấu một bước tiến nữa trong quá trình phát triển không ngừng của nhóm này hướng tới việc tạo ra các phần mềm độc hại được thiết kế riêng.
Cũng được theo dõi dưới các tên gọi Mango Sandstorm, Static Kitten và TA450, MuddyWater được đánh giá rộng rãi là hoạt động thay mặt cho Bộ Tình báo và An ninh Iran (MOIS). Nhóm này đã hoạt động ít nhất từ năm 2017 và duy trì mục tiêu nhắm vào chính phủ khu vực và các mục tiêu thuộc khu vực tư nhân.
Mục lục
Phương thức lây nhiễm: Tài liệu bị lợi dụng và thủ đoạn đánh lừa thị giác.
Chuỗi tấn công tương đối đơn giản nhưng hiệu quả. Nạn nhân nhận được email lừa đảo có chủ đích, được thiết kế trông giống như hướng dẫn an ninh mạng chính thức. Những tin nhắn này chứa tệp đính kèm Microsoft Word độc hại, sử dụng kỹ thuật giả mạo biểu tượng để trông có vẻ hợp pháp.
Khi tài liệu được mở, người dùng sẽ được nhắc "Cho phép nội dung". Chấp nhận yêu cầu này sẽ kích hoạt một macro VBA độc hại, macro này sẽ chèn và thực thi mã độc dựa trên ngôn ngữ Rust. Bước tấn công phi kỹ thuật này vẫn rất quan trọng đối với sự thành công của chiến dịch.
Khả năng của phần mềm độc hại: Bên trong phần mềm cấy ghép RustyWater
RustyWater, còn được biết đến với tên Archer RAT hoặc RUSTRIC, hoạt động như một phần mềm độc hại truy cập từ xa dạng mô-đun được thiết kế để hoạt động lén lút và linh hoạt. Sau khi được triển khai, nó thu thập thông tin chi tiết về hệ thống bị nhiễm, kiểm tra các sản phẩm bảo mật đã được cài đặt và thiết lập khả năng duy trì hoạt động thông qua một khóa trong Windows Registry.
Sau đó, phần mềm cấy ghép sẽ thiết lập liên lạc với máy chủ điều khiển tại 'nomercys.it[.]com', cho phép tương tác không đồng bộ. Thông qua kênh này, người điều hành có thể thực thi lệnh, quản lý tập tin và mở rộng chức năng thông qua các mô-đun bổ sung, hỗ trợ các hoạt động lâu dài sau khi xâm nhập.
Sự tiến hóa của nghề thủ công: Từ sống dựa vào thiên nhiên đến chế tạo dụng cụ chuyên dụng
Trước đây, MuddyWater chủ yếu dựa vào PowerShell và các trình tải VBS, cùng với các công cụ truy cập từ xa hợp pháp, để thực hiện cả việc truy cập ban đầu và các hoạt động tiếp theo. Theo thời gian, nhóm này đã cố tình giảm sự phụ thuộc đó để tập trung vào một danh mục phần mềm độc hại được thiết kế riêng ngày càng mở rộng.
Hệ sinh thái tùy chỉnh này bao gồm các công cụ như Phoenix, UDPGangster, BugSleep (còn gọi là MuddyRot) và MuddyViper. Việc áp dụng các phần mềm độc hại dựa trên Rust phản ánh sự chuyển dịch sang các khả năng có cấu trúc, mô-đun và ít gây nhiễu hơn, khiến việc phân tích và phát hiện trở nên khó khăn hơn.
Hoạt động mở rộng: RUSTRIC vượt ra ngoài khu vực Trung Đông
Vào cuối tháng 12 năm 2025, các nhà nghiên cứu đã báo cáo việc sử dụng RUSTRIC trong một loạt các vụ xâm nhập có liên quan nhắm vào các công ty công nghệ thông tin, nhà cung cấp dịch vụ quản lý, bộ phận nhân sự và các công ty phát triển phần mềm ở Israel. Cụm hoạt động này đang được theo dõi với tên gọi UNG0801 và Chiến dịch IconCat.
Những phát hiện này nhấn mạnh rằng RustyWater không phải là một thử nghiệm đơn lẻ mà là một thành phần tích cực trong bộ công cụ tấn công đang mở rộng của MuddyWater.
Ý nghĩa chiến lược: Một đối thủ trưởng thành hơn
Sự xuất hiện của RustyWater cho thấy MuddyWater tiếp tục đầu tư vào phần mềm độc hại được thiết kế chuyên dụng để duy trì hoạt động, mở rộng theo mô-đun và né tránh sự phát hiện. Bước tiến này báo hiệu một tư thế hoạt động trưởng thành hơn, với các công cụ hỗ trợ truy cập âm thầm, lâu dài hơn thay vì các hoạt động công khai, nặng về kịch bản.
Đối với các chuyên gia phòng thủ, sự phát triển này củng cố thêm nhu cầu phải xem xét kỹ lưỡng các chiêu trò lừa đảo dựa trên tài liệu, giám sát các cơ chế duy trì hoạt động dựa trên registry và kiểm tra chặt chẽ các kết nối ra ngoài bất thường, đặc biệt là những kết nối liên quan đến các họ phần mềm độc hại Rust mới được phát hiện.
