文章总结： 伊朗MuddyWater组织推出基于Rust的恶意软件RustyWater，利用宏文档攻击中东机构。该工具具备强反分析、持久化及异步C2能力，旨在绕过传统检测。建议企业禁用宏、强化行为监测及安全意识，应对黑客转向编译型语言的新威胁。 综合评分： 88 文章分类： 威胁情报,恶意软件,红队

Rust成黑客新宠？起底伊朗组织MuddyWater的“锈水”行动 (RustyWater)

原创

Hankzheng

技术修道场

2026年1月15日 07:55 广东

大家好，最近在威胁情报圈子里，有一个非常有意思的现象值得我们关注。

大家知道，过去这几年，像 Rust 和 Go 这样的现代化编程语言因为内存安全、高并发等特性，在开发圈子里火得一塌糊涂。但所谓“技术无罪，善恶在人”，这股风潮最近也刮到了黑客圈，而且势头甚至更猛。

今天我们要聊的主角，是赫赫有名的伊朗背景威胁组织——MuddyWater（又名 Mango Sandstorm 或 Static Kitten）。这群家伙最近搞了一波大动作，针对中东地区的电信、金融和外交部门发起了一轮猛烈的鱼叉式网络钓鱼攻击。

重点是：他们抛弃了用顺手的脚本工具，换上了一把用 Rust 打造的新“镰刀”——RustyWater。

作为一个 IT老兵，今天我就带大家扒一扒这个 RustyWater 到底是个什么路数，以及为什么黑客们现在都抢着学 Rust？

01 熟悉的配方，不一样的“味道”

首先，咱们来看看他们的攻击入口。说实话，这部分没啥新意，甚至有点“落后”。

MuddyWater 依然沿用了经典的社会工程学套路：发邮件。

他们会伪装成权威机构，发给你一份看似正经的“网络安全指南”（Cybersecurity Guidelines）。是不是很讽刺？黑客教你搞安全。

一旦受害者放松警惕，下载并打开了这个 Microsoft Word 文档，那个老生常谈的弹窗就会出现：“请启用内容以查看文档”。如果你真的点了“Enable Content”，恭喜你，你这就帮黑客扣动了扳机。

这时候，文档里潜伏的 VBA 宏代码会立刻执行。但不同于以往释放 PowerShell 脚本，这次它会释放并执行一个编译好的 Rust 二进制文件。

这就是我们要分析的主角：RustyWater。

02 技术硬核：为什么是 Rust？

很多只有两三年经验的兄弟可能会问：“以前用 PowerShell 或者 VBScript 不是挺好用的吗？也是系统自带，属于寄生攻击，为什么非要费劲用 Rust 重写？”

这就触及到蓝军和红军对抗的核心痛点了。我认为主要有以下几个技术动因：

• 1. 静态分析的噩梦

  Rust 编译出来的二进制文件，结构非常紧凑且复杂。如果不带调试符号（Strip 之后），逆向工程的难度比 C/C++ 还要大。对于安全分析师来说，看着一堆被 Rust 编译器高度优化过的汇编代码，简直是掉头发的加速器。这意味着它的反分析（Anti-analysis）能力天然就强。

• 2. 绕过特征检测

  传统的杀软对 PowerShell 的查杀已经非常成熟了（AMSI 接口教做人）。但 Rust 是编译型语言，且依赖库是静态链接进去的，这意味着生成的哈希值变化多端，很难用传统的静态特征码去锁定它。CloudSEK 的报告也提到，RustyWater 具备很强的反分析和注册表持久化能力。

• 3. 跨平台潜力

  虽然目前的样本是针对 Windows 的，但 Rust 的特性决定了同一套代码稍作修改就能编译成 Linux 或 macOS 版本。这对于黑客来说，是一次开发，到处“运行”。

03 RustyWater 的核心能力

根据 CloudSEK 和 Seqrite Labs 的分析，这个 RustyWater（也被称为 Archer RAT 或 RUSTRIC）绝不是个半成品，它的功能模块化设计非常成熟：

🔹 异步 C2 通信：它不会傻乎乎地一直连着服务器，而是采用异步方式与 C2 服务器（比如样本中发现的 nomercys.it[.]com）进行“心跳”联络。这种方式更加隐蔽，不容易被流量防火墙抓到规律。

🔹 注册表持久化：为了防止重启后失效，它会修改 Windows 注册表，像牛皮糖一样粘在系统里。

🔹 环境感知：它启动后的第一件事，就是侦察受害者的机器环境，检测是否安装了某些安全软件。如果是蜜罐或者沙箱，它可能就会选择“装死”。

🔹 模块化扩展：这是最危险的一点。它不仅仅是一个木马，更像是一个加载器。攻击者可以随时通过 C2 下发新的模块，比如专门窃取文件的、专门截屏的，或者专门进行内网横向移动的。

04 攻击趋势的演变

回顾 MuddyWater 过去几年的手法，你会发现一个清晰的演进路线。

以前，他们喜欢用合法的远程管理工具（RMM）来控制受害者机器，图的是方便、白名单。但随着各大厂商对 RMM 工具管控的收紧，他们开始转向全定制化的恶意软件军火库。

除了今天的 RustyWater，他们手里还有 Phoenix、UDPGangster、BugSleep (MuddyRot) 和 MuddyViper 等一堆工具。

这一方面说明了这个伊朗组织的开发能力在增强，另一方面也说明：仅仅依赖“识别恶意软件”的传统防御思路，已经越来越不够用了。

05 IT 人的建议

面对这种用 Rust 包装的“新型毒药”，我们该怎么办？

1. 死磕宏病毒：

   不管后端用什么语言，入口还是 Word 宏。企业内部除了财务等特定部门，建议默认禁用 Office 宏。

2. 关注行为分析：

   既然静态特征难抓，就抓行为。不明进程修改注册表、奇怪的异步网络连接、非工作时间的各种扫描行为，这些都是 EDR（端点检测与响应）系统需要重点关注的指标。

3. 提升全员意识：

   再牛的技术，也防不住随手点击“启用内容”的手。

技术在进步，黑客也在进步。Rust 是把好刀，可惜被拿去干了坏事。

作为技术人员，我们能做的就是保持敏锐，不断更新自己的知识库。毕竟，安全攻防，本质上就是一场人与人之间认知维度的对抗。

互动时间

你对黑客全面转向 Rust 语言怎么看？ 欢迎在评论区聊聊你的看法！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：技术修道场 Hankzheng《Rust成黑客新宠？起底伊朗组织MuddyWater的“锈水”行动 (RustyWater)》