文章总结： 文档深度剖析伊朗APT组织MuddyWater八年进化史，揭示其从宏病毒钓鱼、滥用合法RMM工具到利用Rust语言载荷的技术升级路径。攻击目标聚焦外交、电信及学术机构，手段日益隐蔽。文章结合经典攻击场景，给出了禁用宏、验证邮件来源及部署EDR监控异常行为的防御建议，指出防御核心在于提升安全意识以应对不断进化的伪装攻击。 综合评分： 85 文章分类： 威胁情报,恶意软件,社会工程学,安全建设,安全意识

伊朗黑客8年进化史：从宏病毒到Rust武器，伪装大使馆钓鱼全球外交官！

原创

AI紫队安全研究 AI紫队安全研究

AI紫队安全研究

2026年3月6日 11:43 广东

大家好，我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“AI紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。

“ Oman外交部邀您参加伊朗-以色列局势研讨会，附件为官方议程 ”——当全球多国驻外使节收到这封带官方域名的邮件，点开Word文档的瞬间，就掉进了伊朗MuddyWater组织布下的8年潜伏陷阱。

这个隶属于伊朗情报部（MOIS）的APT团伙，从2017年至今从未停手，目标覆盖中东电信、欧洲高校、以色列保险、马来西亚养老金等关键领域。更可怕的是，他们的攻击手段不断升级：从简单宏病毒，到滥用合法远程工具，如今更是用上Rust语言打造“隐身武器”，连杀毒软件都难识别。作为跟踪APT攻击的安全博主，必须扒透这伙人的“进化之路”——他们的套路，早已从“单点攻击”变成“体系化狩猎”。

先认门：MuddyWater，伊朗的“国家级间谍猎人”

MuddyWater绝非普通黑客团伙，而是伊朗官方操控的“网络特工队”，外号一堆（Mango Sandstorm、Static Kitten、TA450），核心目标只有一个：长期潜伏，偷情报，而非短期勒索或破坏。

他们最擅长“借信任作案”——伪装成政府机构、客户、合作伙伴，用看似合法的文件和工具，让受害者主动开门。8年来，他们的攻击范围从中东扩散到欧、亚、北美，目标全是“高价值资产”：电信基础设施、政府部门、高校、金融保险机构，堪称“哪里重要攻哪里”。

8年进化3大阶段：从“入门宏病毒”到“Rust黑科技”

MuddyWater的攻击手段一直在升级，每一步都精准避开防御升级，堪称“黑客界的进化教科书”：

阶段1（2017-2019）：宏病毒敲门，专攻中东核心设施

这一阶段，他们的“招牌动作”是Word宏病毒钓鱼，简单直接却命中率极高：

伪装成工作文档：给伊拉克电信运营商发“月度报告修正版”，给约旦大学发“学生移民信息验证通知”，文件名和内容完全贴合受害者身份；

诱骗启用宏：文档里放模糊内容，提示“需启用内容才能查看完整信息”，对办公族来说，这是再常规不过的操作；

藏PowerShell后门：宏执行后，悄悄启动PowerShell脚本，植入后门，长期窃取电信数据、高校科研信息。

最狠的是，他们针对约旦大学的攻击，还会加载远程恶意模板，让静态分析根本查不到恶意代码，完美绕过早期杀毒软件。

阶段2（2022-2024）：滥用合法工具，变身“隐形管理员”

当宏病毒被广泛防御后，他们玩起了“借刀杀人”——滥用正规远程管理工具（RMM），让攻击流量混在正常办公流量里：

伪装成客户咨询：给埃及数据中心发“主机托管需求”，给以色列保险公司发“商业保险询价”，附件是恶意HTML文件；

跳转云存储下载恶意安装包：HTML文件看似是酒店官网页面，实则引导下载OneDrive上的ZIP包，里面藏着Syncro、Atera等正规RMM工具的安装程序；

一键控制受害者电脑：这些安装包是黑客合法注册的，带正规数字签名，安装后黑客就能通过RMM平台，获得 SYSTEM 级权限，远程操控、偷文件、横向渗透，全程隐身。

更阴的是，他们还会给压缩包设简单密码（如123456），降低邮件安全网关的警惕，让恶意文件顺利送达。

阶段3（2025-2026）：Rust武器登场，横扫全球外交官

2025年后，MuddyWater彻底升级“装备”，用Rust语言编写恶意 payload，防御难度直接拉满：

伪装成外交邀请：伪造阿曼外交部邮件，发给全球多国驻外使馆和联合国机构，附件是带阿曼国旗的Word文档，可信度拉满；

文档藏加密 payload：宏代码不再直接加载恶意程序，而是从文档隐藏控件里提取加密的ASCII字符串，解码后生成恶意EXE；

Rust payload 反杀杀毒软件：生成的恶意文件会先扫描电脑里的28款安全软件（包括360、卡巴斯基、CrowdStrike），针对性规避检测，还会通过Telegram机器人接收指令，通信加密难追踪。

2026年初，他们甚至伪装成中亚电信运营商，发“新网络安全指南”，用Rust payload 继续狩猎，攻击手段越来越隐蔽。

3个经典攻击场景，看完再也不敢乱点附件

MuddyWater的攻击之所以屡屡得手，在于他们对受害者心理和工作场景的精准拿捏，这3个案例堪称教科书级：

场景1：电信运营商员工收到“报告修正”邮件

邮件主题：“3月报告存在错误，详见附件”，附件是“Missan dashboard.rar”；

解压后是Word文档，提示“旧版本Word需启用内容才能显示”；

启用宏后，PowerShell后门悄悄安装，黑客长期窃取用户数据、网络拓扑，甚至影响国家电信骨干网。

场景2：以色列教授收到“校内政策更新”邮件

发送时间：下班前5点13分，此时员工注意力不集中，容易放松警惕；

邮件是希伯来语，发件人带以色列国家域名（.co.il），附件是“Webinar.doc”；

打开后提示启用宏，实际生成伪装成SentinelOne安全软件的恶意文件，用32位XOR密钥解密Rust payload，偷取科研数据。

场景3：外交官收到“国际研讨会邀请”

发件人： Oman外交部官方域名，带巴黎使馆标识；

附件：“Online Seminar.FM.gov.om.doc”，顶部是阿曼国旗，中间模糊显示“伊朗-以色列战争”相关议题；

启用宏后，文件自动连接C2服务器“screenai.online”，黑客获取管理员权限，窃取外交机密。

防坑指南：4招识破MuddyWater的“伪装术”

不管是企业员工还是公职人员，记住这4点，就能避开类似陷阱：

1. 对“官方文件+启用宏”说不

正规政府机构、企业绝不会要求“启用宏才能查看文档”，尤其是邮件附件，只要弹“启用内容”提示，直接关闭删除；

把Office宏功能默认设为“禁用”，在信任中心勾选“阻止未签名宏”，从源头断了黑客的路。

2. 警惕“正规工具安装包”

收到Syncro、Atera、TeamViewer等RMM工具的安装包，先核对来源：是否是IT部门统一推送，有没有正规审批流程；

手动查询安装包的数字签名，确认是否来自官方，避免安装黑客伪造的“李鬼”工具。

3. 检查邮件3个细节，避开钓鱼

发件人：就算显示官方名称，也要查域名（如政府机构域名多为.gov结尾，企业多为官方官网域名），警惕gmail、yahoo等公共邮箱；

内容：是否有具体联系人、联系方式，模糊表述（如“详见附件”“请及时处理”）且无明确业务背景的，大概率是钓鱼；

附件路径：如果附件需要跳转云存储（OneDrive、Dropbox）下载，先联系发件人确认，不要直接点链接。

4. 用EDR工具监控“异常行为”

普通杀毒软件难防Rust payload和RMM滥用，建议企业部署支持行为检测的EDR工具；

重点监控：Word文档运行后生成陌生EXE、不明RMM工具安装、后台连接Telegram或可疑C2域名（如stratioai.org、nomercys.it.com），一旦发现立即告警。

最后提醒：黑客在进化，防御不能停

MuddyWater 8年的攻击进化史告诉我们：黑客不再依赖复杂0day漏洞，而是靠“伪装+滥用正规工具+升级编程语言”，让攻击更隐蔽、更难追踪。

对我们来说，防御的核心不是追求“更高级的杀毒软件”，而是保持警惕：不轻易相信陌生邮件附件，不随意启用宏，不安装来源不明的软件。你的一次谨慎，可能就避开了一场持续数年的潜伏窃密。

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI紫队安全研究 AI紫队安全研究 AI紫队安全研究《伊朗黑客8年进化史：从宏病毒到Rust武器，伪装大使馆钓鱼全球外交官！》