文章总结： 伊朗APT组织MuddyWater在中东发动鱼叉式钓鱼，投递RustyWaterRAT，借伪装Word宏释放Rust植入体，实现持久化、反EDR、三层加密回传，标志其从PS/VBS转向模块化低噪Rust工具链 综合评分： 78 文章分类： 威胁情报,恶意软件,漏洞分析,移动安全,安全大事件

MuddyWater通过鱼叉式钓鱼在中东地区投放RustyWater远程访问木马

会杀毒的单反狗

军哥网络安全读报

2026年1月12日 09:00 湖北

导读

被称为MuddyWater的伊朗高级威胁组织被指开展了一场鱼叉式钓鱼活动，其目标是中东地区的外交、海事、金融和电信实体，所使用的是一个基于Rust语言的植入程序，代号为RustyWater。

CloudSEK的研究人员在本周发布的一份报告中表示：“该活动利用图标欺骗和恶意Word文档来植入基于Rust的恶意程序，这些程序具备异步命令与控制、反分析、注册表持久化以及模块化的妥协后能力扩展功能。”

最新进展反映了“浑水”（MuddyWater）攻击手段的持续演变，其已逐渐且稳步地减少了对合法远程访问软件作为漏洞利用后工具的依赖，转而采用多样化的定制恶意软件库，其中包括“凤凰”（Phoenix）、“UDP流氓”（UDPGangster）、“漏洞休眠”（BugSleep，又名MuddyRot）以及“浑水蝰蛇”（MuddyViper）等工具。

该黑客组织还被追踪为Mango Sandstorm、Static Kitten和TA450，经评估与伊朗情报和安全部（MOIS）有关联。其至少从2017年起就开始活动。

传播RustyWater的攻击链相当直接：伪装成网络安全指南的鱼叉式钓鱼邮件会附带一个Microsoft Word文档，打开该文档后，会指示受害者“启用内容”，以激活恶意VBA宏的执行，而该宏负责部署Rust植入程序二进制文件。

伪装成外交文件的诱饵文档

该恶意软件也被称为Archer RAT和RUSTRIC，RustyWater会收集受害者机器的信息，检测已安装的安全软件，通过Windows注册表项建立持久化机制，并与命令控制（C2）服务器（“nomercys.it[.]com”）建立联系，以方便文件操作和命令执行。

恶意文档包含两个VBA宏函数，它们相互配合以部署有效载荷。WriteHexToFile函数会提取隐藏在UserForm控件中的十六进制编码数据，将其转换为二进制格式，并将其保存为ProgramData文件夹中的CertificationKit.ini文件。

第二个函数名为love_me_，它使用ASCII值混淆来动态构建命令字符串。

它通过字符代码重构WScript.Shell，并使用cmd.exe执行释放的有效载荷。这种方法帮助恶意软件规避安全工具的静态特征检测。

RUSTRIC被用于针对以色列的信息技术（IT）、托管服务提供商（MSP）、人力资源和软件开发公司的攻击中。这家网络安全公司正以UNG0801和“Operation IconCat”为名追踪这些活动。

RustyWater通过将自身添加到Windows注册表启动项来建立持久性。该恶意软件首先检查当前用户的Run注册表位置，并创建一个指向CertificationKit.ini的条目，以便在系统启动时自动运行。

该植入物使用位置无关的异或加密来隐藏其所有字符串，这使得分析更加困难。

在执行其主要功能之前，RustyWater会通过检查服务名称、代理文件和安装路径，扫描系统中超过25种 antivirus 和终端检测与响应产品。当检测到安全工具时，它会改变自身行为以保持隐藏。

这种恶意软件会收集受害者的信息，包括用户名、计算机名和域详细信息。

它将这些数据打包成JSON格式，然后在发送到命令和控制服务器之前，应用三层base64编码和XOR加密。

CloudSEK表示：“从历史上看，MuddyWater依赖PowerShell和VBS加载器来实现初始访问和妥协后的操作。基于Rust的植入程序的推出，标志着其工具向更结构化、模块化和低噪音的远程访问工具（RAT）能力的显著发展。”

技术报告：

《MuddyWater借助RustyWater植入程序升级工具》

https://www.cloudsek.com/blog/reborn-in-rust-muddywater-evolves-tooling-with-rustywater-implant

新闻链接：

https://thehackernews.com/2026/01/muddywater-launches-rustywater-rat-via.html

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗《MuddyWater通过鱼叉式钓鱼在中东地区投放RustyWater远程访问木马》