O grupo de ciberespionagem iraniano conhecido como MuddyWater está por trás de uma campanha de spear-phishing que tem como alvo setores diplomáticos, marítimos, financeiros e de telecomunicações no Oriente Médio. O ataque utiliza um malware desenvolvido em Rust, chamado RustyWater, que se destaca por suas capacidades avançadas de comando e controle (C2), resistência à análise e persistência no sistema.
De acordo com um relatório da CloudSEK, a campanha emprega documentos do Word maliciosos e técnicas de falsificação de ícones para enganar as vítimas. Ao abrir o documento, os usuários são instruídos a ativar macros VBA, que instalam o malware RustyWater. Este implante coleta informações do sistema, detecta softwares de segurança instalados e estabelece comunicação com um servidor C2 para executar comandos e operações de arquivo.
O MuddyWater, também conhecido por outros nomes como Mango Sandstorm e Static Kitten, tem evoluído suas ferramentas de ataque, afastando-se de softwares legítimos de acesso remoto para adotar malwares personalizados, como Phoenix e MuddyViper. A introdução do RustyWater representa um avanço significativo em suas capacidades de ataque, oferecendo uma abordagem mais estruturada e modular.
Recentemente, o uso do RustyWater foi detectado em ataques contra empresas de tecnologia da informação, provedores de serviços gerenciados, recursos humanos e desenvolvimento de software em Israel. A campanha foi identificada pela Seqrite Labs como parte das operações UNG0801 e IconCat.
O MuddyWater está ativo desde pelo menos 2017 e é associado ao Ministério de Inteligência e Segurança do Irã. Historicamente, o grupo utilizava carregadores PowerShell e VBS para acesso inicial e operações pós-comprometimento, mas a introdução de implantes baseados em Rust marca uma evolução notável em suas táticas.
Fonte:https://thehackernews.com/2026/01/muddywater-launches-rustywater-rat-via.html
