文章总结： 伊朗APT组织MuddyWater推出Rust编写的RustyWater工具，针对中东外交金融机构。攻击通过钓鱼邮件诱导启用宏，利用Rust的高隐蔽性窃取数据。建议禁用宏，排查启动项与异常进程，并部署具备行为检测能力的EDR应对威胁。 综合评分： 90 文章分类： 威胁情报,恶意软件,应急响应,安全意识,软文广告

伊朗APT组织换“新武器”！用Rust写的间谍工具横扫中东，外交官点开Word就中招

原创

AI紫队安全研究 AI紫队安全研究

AI紫队安全研究

2026年1月20日 12:00 广东

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

“这是最新网络安全指南，打开后启用内容才能查看完整政策——外交部办公厅”。当中东某国外交官在邮箱里收到这样的Word文档，按提示“启用宏”的瞬间，就掉进了伊朗黑客组织MuddyWater的新陷阱。

2026年1月，CloudSEK和Seqrite Labs同时曝光：这个活跃9年的伊朗APT组织，抛弃了用惯的PowerShell脚本，换上了用Rust语言打造的“锈水”（RustyWater）间谍工具，专门猎杀中东的外交、海事、金融机构，连以色列的IT公司都成了目标。作为跟踪APT攻击的安全博主，必须扒透这把“新镰刀”的厉害——它比旧工具更隐蔽、更难抓，堪称黑客界的“隐形杀手”。

先认门：MuddyWater，伊朗的“国家级间谍队”

在聊新工具前，得先认清这个对手的底细：MuddyWater可不是普通黑客团伙，而是伊朗情报和安全部（MOIS）直接操控的“网络特工”，外号一堆——Mango Sandstorm、Static Kitten、TA450，从2017年活跃到现在，专门干“偷情报”的勾当。

他们以前的套路很固定：用PowerShell、VBS脚本搞钓鱼，借合法远程工具（比如SimpleHelp）控制电脑。但这次不一样了，他们换上了Rust写的RustyWater，相当于“从匕首换成了无声手枪”——隐蔽性直接拉满。

拆解攻击链：从“点Word”到被监控，3步被间谍盯上

MuddyWater的新攻击链看似简单，却藏着很多“反检测小心机”，360安全研究员还原的全过程让人捏把汗：

Step 1：钓鱼邮件递“诱饵”，Word图标骗你点

攻击始于一封鱼叉式钓鱼邮件，主题通常是“外交文件通知”“海事安全指南”，附件是个看似正规的Word文档——图标和政府官方文件一模一样，文件名可能是“2026网络安全合规要求.doc”。

但这文档里藏着“定时炸弹”：一旦打开，会弹出提示“内容受保护，需启用宏才能查看”。对习惯了处理官方文件的外交官、金融从业者来说，“启用宏”是常规操作，谁能想到这是黑客的第一步陷阱？

Step 2：宏代码“暗度陈仓”，Rust工具悄悄装

点击“启用内容”的瞬间，藏在文档里的恶意VBA宏就会启动，干两件隐蔽的事：

1. 修改注册表：在HKCU\Software\Microsoft\Windows\CurrentVersion\Run里加个启动项，比如“WindowsUpdateHelper”，让恶意程序开机自启，像牛皮糖一样粘在系统里；

2. 下载RustyWater：从黑客的C2服务器偷偷下载Rust编写的植入程序，全程用异步通信——不会一直连服务器，而是隔几分钟发个“心跳包”，流量混在正常办公请求里，防火墙根本抓不到规律。

更阴的是，宏代码还会弹出一个“假指南文档”，你以为在看政策，其实间谍工具已经装好了。

Step 3：RustyWater“接管”电脑，偷情报不留痕

一旦RustyWater启动，你的电脑就成了黑客的“情报站”，它的本事比旧工具强太多：

查环境再动手：先扫描电脑里有没有卡巴斯基、EDR等安全软件，甚至能识别是不是沙箱/蜜罐——如果是“陷阱”，它就装死不干活，避免被研究员抓包；

模块化偷数据：像“搭积木”一样，黑客能通过C2服务器给它发新模块——想要偷文件就装“文件窃取模块”，想要截屏就装“屏幕捕获模块”，想要横向渗透就装“内网扫描模块”；

反调试防追踪：启用“向量化异常处理程序（VEH）”，阻止安全研究员调试；字符串全用XOR加密，就算被抓到样本，也很难逆向分析。

之前有中东金融机构中招后，黑客用它偷了3个月的交易记录，直到IT部门发现异常流量才察觉——可见它多能藏。

为什么Rust成了黑客新宠？3个“技术优势”太扎心

MuddyWater放弃PowerShell改用Rust，不是跟风，而是看中了Rust的3个“黑客友好”特性：

1. 内存安全=少翻车

Rust语言自带“内存安全检查”，不像C/C++容易出内存泄漏、缓冲区溢出的bug——黑客不用怕工具自己崩掉，能稳定潜伏在电脑里。

2. 跨平台=多设备通杀

Rust能编译成Windows、Linux、macOS多种版本的程序，MuddyWater用一套代码，既能攻击Windows系统的外交电脑，也能搞定Linux系统的海事服务器，省事又隐蔽。

3. 低噪音=难被发现

Rust编译的程序体积小、没有多余依赖，运行时不会像PowerShell那样留下大量日志，杀毒软件很难通过“异常进程”“奇怪脚本”识别它——相当于穿着“隐身衣”干活。

现在不止MuddyWater，俄罗斯的Gossamer Bear、其他国家的APT组织都开始用Rust写工具，黑客界已经掀起了“学Rust热潮”，这对防守方来说可不是好消息。

防坑指南：4招避开“Rust间谍”，比装杀毒软件管用

不管是企业还是个人，面对这种“高隐蔽性攻击”，记住这4点就能少踩坑：

1. 看到“启用宏”，先打个问号

政府、企业的正规文件，绝不会让你“启用宏”才能查看——尤其是邮件里的Word文档，只要弹“启用内容”提示，直接关掉删除；

把Office的“宏功能”默认设为“禁用”，在“信任中心”里勾选“阻止未签名宏”，从源头断了黑客的路。

2. 查这两个地方，揪出“隐身间谍”

注册表启动项：Win+R输入“regedit”，定位到HKCU\Software\Microsoft\Windows\CurrentVersion\Run，陌生项（比如“WindowsUpdateHelper”“SysHelper”）直接删除；

进程管理器：按Ctrl+Shift+Esc，看有没有“无窗口、无描述”的可疑进程，尤其是名字像系统程序但路径不在C:\Windows\System32里的，大概率是RustyWater这类恶意程序。

3. 邮件钓鱼要警惕，3个细节别忽略

发件人：哪怕显示“外交部”，也要查邮箱后缀——正规机构不会用gmail.com“yahoo.com”这类公共邮箱；

附件名：如果Word文档名里带“安全指南”“合规要求”，但大小只有几十KB（正常文档至少几百KB），很可能藏了宏代码；

链接：把鼠标悬停在邮件里的链接上，看真实URL是不是官方域名，MuddyWater常伪装成“dropbox.com”“wordpress.com”，实际是恶意服务器。

4. 给EDR“升级”，抓Rust程序别手软

普通杀毒软件对Rust程序识别率低，建议企业部署支持“行为检测”的EDR工具——比如监控“Word启动后立即修改注册表”“异步连接陌生IP”这类异常行为，就算工具再隐蔽，行为也藏不住。

最后：黑客在“进化”，我们不能停

MuddyWater换用Rust工具，其实是APT组织的一个缩影——他们不再满足于“能用就行”，而是追求“更隐蔽、更难抓”的武器。对我们来说，防御不能停留在“防脚本、防宏”的旧思路，得跟上黑客的技术节奏。

如果你在邮箱里收到可疑的Word文档，或者电脑出现“莫名卡顿”“硬盘悄悄读写”的情况，别犹豫，赶紧用EDR扫描，必要时联系安全机构——你的一次警惕，可能就避免了一次情报泄露。

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI紫队安全研究 AI紫队安全研究 AI紫队安全研究《伊朗APT组织换“新武器”！用Rust写的间谍工具横扫中东，外交官点开Word就中招》