Il 10 gennaio 2026, è stato scoperto un gruppo iraniano noto come MuddyWater che ha lanciato una campagna di phishing mirata contro entità diplomatiche, marittime, finanziarie e di telecomunicazioni nel Medio Oriente, utilizzando un implant basato su Rust chiamato RustyWater.
La campagna utilizza lo spoofing delle icone e documenti di Word dannosi per consegnare implant basati su Rust in grado di eseguire operazioni di comando e controllo asincrone, analisi anti-analisi, persistenza del registro e espansione modulare delle capacità post-compromissione.
Conseguenze e impatto
L’introduzione di implant basati su Rust rappresenta un’evoluzione significativa delle tecniche di attacco di MuddyWater, che in passato si è affidato a PowerShell e VBS loader per l’accesso iniziale e le operazioni post-compromissione.
La nuova strategia di utilizzare implant basati su Rust offre una maggiore struttura, modularità e capacità di ridurre il rumore, rendendo gli attacchi più difficili da rilevare e contrastare. È importante notare che MuddyWater è stato operativo dal 2017 e è considerato affiliato al Ministero dell’Intelligence e della Sicurezza dell’Iran (MOIS).
