RustyWater RAT
El actor de amenazas vinculado a Irán, conocido comúnmente como MuddyWater, ha sido atribuido a una nueva campaña de phishing dirigido contra organizaciones diplomáticas, marítimas, financieras y de telecomunicaciones en Oriente Medio. La actividad se centra en un implante basado en Rust, denominado RustyWater, lo que marca un paso más en la constante evolución del grupo hacia el malware a medida.
También rastreado bajo los nombres Mango Sandstorm, Static Kitten y TA450, se considera ampliamente que MuddyWater opera en nombre del Ministerio de Inteligencia y Seguridad de Irán (MOIS). El grupo ha estado activo desde al menos 2017 y mantiene un enfoque persistente en objetivos del gobierno regional y del sector privado.
Tabla de contenido
Vector de infección: documentos armados y engaño visual
La cadena de ataque es relativamente simple, pero efectiva. Las víctimas reciben correos electrónicos de phishing dirigidos, diseñados para simular directrices oficiales de ciberseguridad. Estos mensajes incluyen un archivo adjunto malicioso de Microsoft Word que utiliza la suplantación de iconos para parecer legítimo.
Al abrir el documento, se solicita al usuario que active el contenido. Al aceptar esta solicitud, se activa una macro VBA maliciosa que instala y ejecuta la carga útil basada en Rust. Esta medida de ingeniería social es crucial para el éxito de la campaña.
Capacidades del malware: dentro del implante RustyWater
RustyWater, también conocido como Archer RAT o RUSTRIC, funciona como un troyano modular de acceso remoto diseñado para ser discreto y flexible. Una vez implementado, recopila información detallada sobre el sistema infectado, comprueba si hay productos de seguridad instalados y establece persistencia mediante una clave del Registro de Windows.
El implante inicia entonces la comunicación con un servidor de comando y control en 'nomercys.it[.]com', lo que permite la interacción asincrónica. A través de este canal, los operadores pueden ejecutar comandos, gestionar archivos y ampliar la funcionalidad mediante módulos adicionales, lo que facilita las operaciones a largo plazo tras la vulneración.
Evolución de la artesanía: de la agricultura a las herramientas personalizadas
Históricamente, MuddyWater dependía en gran medida de los cargadores de PowerShell y VBS, junto con herramientas legítimas de acceso remoto, para realizar tanto el acceso inicial como las actividades posteriores. Con el tiempo, el grupo ha reducido deliberadamente dicha dependencia en favor de una creciente cartera de malware a medida.
Este ecosistema personalizado incluye herramientas como Phoenix, UDPGangster, BugSleep (también llamado MuddyRot) y MuddyViper. La adopción de implantes basados en Rust refleja una transición hacia capacidades más estructuradas, modulares y con menor ruido, más difíciles de analizar y detectar.
Actividad más amplia: RUSTRIC más allá de Oriente Medio
A finales de diciembre de 2025, investigadores informaron del uso de RUSTRIC en un conjunto de intrusiones relacionadas dirigidas a empresas de tecnología de la información, proveedores de servicios gestionados, departamentos de recursos humanos y empresas de desarrollo de software en Israel. Este grupo de actividad se rastrea como UNG0801 y la Operación IconCat.
Estos hallazgos subrayan que RustyWater no es un experimento aislado, sino un componente activo del conjunto de herramientas ofensivas en expansión de MuddyWater.
Implicaciones estratégicas: un adversario más maduro
La aparición de RustyWater pone de manifiesto la continua inversión de MuddyWater en malware diseñado específicamente para la persistencia, la expansión modular y la evasión. Esta evolución indica una postura operativa más madura, con herramientas que permiten un acceso más discreto y a largo plazo, en lugar de una actividad manifiesta y basada en scripts.
Para los defensores, esta evolución refuerza la necesidad de examinar los señuelos de phishing basados en documentos, monitorear los mecanismos de persistencia basados en registros e inspeccionar de cerca las conexiones salientes inusuales, particularmente aquellas asociadas con las familias de malware Rust recientemente observadas.
