文章总结： 伊朗MuddyWater组织针对中东多行业发起鱼叉式钓鱼，投放基于Rust的RustyWater木马。攻击利用恶意Word文档启用宏执行，具备反分析、持久化及模块化C2能力。这标志着其技术向定制化Rust工具演进，机构需警惕文档攻击并加强宏安全策略。 综合评分： 88 文章分类： 威胁情报,恶意软件,安全大事件

MuddyWater通过鱼叉式网络钓鱼在中东地区推出RustyWater远程访问木马（RAT）

原创

网络安全9527

安全圈的那点事儿

2026年1月11日 16:49 北京

伊朗威胁组织MuddyWater被指控发起了一场针对中东外交、海事、金融和电信实体的网络钓鱼活动，该活动使用了一种名为RustyWater的基于 Rust 的植入程序。

CloudSEK的Prajwal Awasthi在本周发布的一份报告中表示： “该攻击活动利用图标欺骗和恶意Word文档来传播基于Rust的植入程序，这些植入程序能够实现异步C2、反分析、注册表持久化和模块化入侵后能力扩展。”

最新进展反映了 MuddyWater 的技术不断演变，它逐渐但稳步地减少了对合法远程访问软件作为后渗透工具的依赖，转而使用各种定制恶意软件库，其中包括Phoenix、UDPGangster、BugSleep（又名 MuddyRot）和 MuddyViper等工具。

该黑客组织也被称为 Mango Sandstorm、Static Kitten 和 TA450，据评估与伊朗情报与安全部 (MOIS) 有关联。该组织至少从 2017 年就开始活动。

传播 RustyWater 的攻击链相当简单：伪装成网络安全指南的鱼叉式网络钓鱼电子邮件中会包含一个 Microsoft Word 文档，打开该文档后，会指示受害者“启用内容”，从而激活恶意 VBA 宏的执行，该宏负责部署 Rust 植入二进制文件。

RustyWater 也被称为 Archer RAT 和 RUSTRIC，它会收集受害者的机器信息，检测已安装的安全软件，通过 Windows 注册表项建立持久性，并与命令和控制 (C2) 服务器（“nomercys.it[.]com”）建立联系，以方便文件操作和命令执行。

值得注意的是， Seqrite Labs 上月底发现，RUSTRIC 被用于针对以色列信息技术 (IT)、托管服务提供商 (MSP)、人力资源和软件开发公司的攻击。这家网络安全公司正在追踪这些攻击活动，并将其命名为 UNG0801 和 Operation IconCat。

CloudSEK表示：“MuddyWater历来依赖PowerShell和VBS加载器进行初始访问和入侵后操作。引入基于Rust的植入程序标志着工具的显著演进，朝着更加结构化、模块化和低噪声的远程访问木马（RAT）能力迈进。”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527《MuddyWater通过鱼叉式网络钓鱼在中东地区推出RustyWater远程访问木马（RAT）》