RustyWater RAT
Der iranisch-nahe Bedrohungsakteur MuddyWater wird einer neuen Spear-Phishing-Kampagne zugeschrieben, die auf diplomatische, maritime, Finanz- und Telekommunikationsorganisationen im Nahen Osten abzielt. Im Zentrum der Aktivitäten steht ein auf Rust basierendes Implantat namens RustyWater, was einen weiteren Schritt in der stetigen Weiterentwicklung der Gruppe hin zu maßgeschneiderter Malware darstellt.
Die auch unter den Namen Mango Sandstorm, Static Kitten und TA450 bekannte Gruppe MuddyWater operiert mutmaßlich im Auftrag des iranischen Ministeriums für Nachrichtendienste und Sicherheit (MOIS). Sie ist mindestens seit 2017 aktiv und konzentriert sich beständig auf regionale Regierungs- und Privatsektorziele.
Inhaltsverzeichnis
Infektionsvektor: Gestohlene Dokumente und visuelle Täuschung
Die Angriffskette ist relativ einfach, aber effektiv. Opfer erhalten Spear-Phishing-E-Mails, die wie offizielle Cybersicherheitsinformationen aussehen. Diese Nachrichten enthalten einen schädlichen Microsoft-Word-Anhang, der durch Symbolmanipulation legitim erscheint.
Beim Öffnen des Dokuments wird der Benutzer aufgefordert, Inhalte zu aktivieren. Durch die Bestätigung dieser Aufforderung wird ein schädliches VBA-Makro ausgelöst, das die in Rust geschriebene Payload ablegt und ausführt. Dieser Social-Engineering-Schritt ist weiterhin entscheidend für den Erfolg der Kampagne.
Malware-Funktionen: Einblicke in das RustyWater-Implantat
RustyWater, auch bekannt als Archer RAT oder RUSTRIC, ist ein modularer Remote-Access-Trojaner, der auf Unauffälligkeit und Flexibilität ausgelegt ist. Nach der Installation sammelt er detaillierte Informationen über das infizierte System, prüft installierte Sicherheitsprodukte und verankert sich dauerhaft über einen Windows-Registrierungsschlüssel.
Das Implantat initiiert anschließend die Kommunikation mit einem Command-and-Control-Server unter „nomercys.it[.]com“ und ermöglicht so die asynchrone Interaktion. Über diesen Kanal können die Bediener Befehle ausführen, Dateien verwalten und die Funktionalität durch zusätzliche Module erweitern, wodurch langfristige Operationen nach einem Kompromittierungsfall unterstützt werden.
Die Entwicklung des Handwerks: Vom Überleben in der Natur bis hin zu maßgefertigten Werkzeugen
Historisch gesehen setzte MuddyWater stark auf PowerShell- und VBS-Loader sowie legitime Fernzugriffstools, um sowohl den Erstzugriff als auch Folgeaktivitäten durchzuführen. Im Laufe der Zeit hat die Gruppe diese Abhängigkeit bewusst reduziert und stattdessen ein wachsendes Portfolio an maßgeschneiderter Malware aufgebaut.
Dieses maßgeschneiderte Ökosystem umfasst Tools wie Phoenix, UDPGangster, BugSleep (auch MuddyRot genannt) und MuddyViper. Die Verwendung von Rust-basierten Implantaten spiegelt einen Trend hin zu strukturierteren, modulareren und weniger störanfälligen Funktionen wider, die schwieriger zu analysieren und zu erkennen sind.
Weitergehende Aktivitäten: RUSTRIC jenseits des Nahen Ostens
Ende Dezember 2025 berichteten Forscher über den Einsatz von RUSTRIC bei einer Reihe von Angriffen auf IT-Unternehmen, Managed-Service-Provider, Personalabteilungen und Softwareentwicklungsfirmen in Israel. Diese Angriffe werden unter den Bezeichnungen UNG0801 und Operation IconCat geführt.
Diese Ergebnisse unterstreichen, dass RustyWater kein isoliertes Experiment ist, sondern ein aktiver Bestandteil des wachsenden offensiven Instrumentariums von MuddyWater.
Strategische Implikationen: Ein reiferer Gegner
Das Auftreten von RustyWater unterstreicht MuddyWaters kontinuierliche Investitionen in speziell entwickelte Malware, die auf Persistenz, modulare Erweiterung und Umgehung ausgelegt ist. Diese Weiterentwicklung signalisiert eine reifere operative Strategie mit Werkzeugen, die einen unauffälligeren, längerfristigen Zugriff anstelle von offenkundigen, skriptintensiven Aktivitäten ermöglichen.
Für die Verteidiger unterstreicht diese Entwicklung die Notwendigkeit, dokumentenbasierte Phishing-Köder kritisch zu prüfen, registerbasierte Persistenzmechanismen zu überwachen und ungewöhnliche ausgehende Verbindungen, insbesondere solche im Zusammenhang mit neu entdeckten Rust-Malware-Familien, genau zu untersuchen.
