Hackear a través del «agua oxidada» suena a amenaza de un fontanero borracho, pero en realidad es una nueva táctica del espionaje iraní
El grupo MuddyWater adopta Rust y ahora se hace pasar por consultor de ciberseguridad.
El grupo iraní MuddyWater intensificó los ataques contra organizaciones en países de Oriente Medio, empleando una nueva herramienta maliciosa desarrollada en Rust. La campaña se dirigió a misiones diplomáticas, empresas del sector de telecomunicaciones, transporte marítimo y finanzas.
Según los analistas de CloudSEK, los atacantes envían correos de phishing, disfrazados de recomendaciones sobre ciberseguridad. A los correos se adjuntan documentos de Microsoft Word que contienen una macro maliciosa. Al activar el contenido se descarga un programa llamado RustyWater («agua oxidada») —una herramienta de acceso remoto capaz de evadir el análisis, persistir en el sistema y ampliar su funcionalidad tras la intrusión.
RustyWater, también conocido como Archer RAT y RUSTRIC, recopila información del dispositivo de la víctima, analiza la presencia de soluciones de seguridad, crea claves en el registro de Windows para la persistencia y se conecta con un servidor de mando para ejecutar órdenes y gestionar archivos.
El uso de RUSTRIC también fue registrado recientemente por especialistas de Seqrite Labs. En diciembre informaron sobre ataques a empresas tecnológicas, proveedores de servicios gestionados de TI, así como a departamentos de selección de personal y desarrollo de software en Israel. Lo rastrean bajo los nombres UNG0801 y Operation IconCat.
Los analistas señalan que las acciones del grupo se vuelven cada vez más sofisticadas. Antes MuddyWater prefería emplear herramientas estándar como PowerShell y VBS para el acceso inicial y las operaciones posteriores. Ahora esas soluciones han sido reemplazadas por desarrollos propios con una arquitectura más compleja y un menor nivel de detección. Además de RustyWater, en el arsenal del grupo están programas maliciosos como Phoenix, UDPGangster, BugSleep y MuddyViper.
El grupo, también conocido como Mango Sandstorm, Static Kitten y TA450, presuntamente está vinculado al Ministerio de Inteligencia de Irán y opera desde al menos 2017. La transición del uso de programas legítimos de acceso remoto a soluciones propias indica un desarrollo deliberado y la intención de aumentar la eficacia de las operaciones de espionaje.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla