文章总结： MuddyWater组织近期对中东外交、海事、金融、电信实体发起鱼叉式钓鱼，投放基于Rust的RustyWater远控木马，利用伪装Word文档与VBA宏执行，具备异步C2、反分析、注册表持久化与模块化扩展功能，标志其从PowerShell/VBS向低噪声结构化RAT演进，建议警惕nomercys.it.com域名并禁用宏策略。 综合评分： 85 文章分类： 威胁情报,恶意软件,漏洞分析,移动安全,安全大事件

【安全圈】MuddyWater 黑客组织通过鱼叉式钓鱼向中东多部门传播 RustyWater 远程木马

安全圈

2026年1月12日 19:01 江苏

关键词

黑客

被称为MuddyWater的伊朗黑客组织近日被指发动了一场针对中东地区外交、海事、金融及电信实体的鱼叉式钓鱼攻击，其使用的是一款基于Rust语言、代号为RustyWater的植入程序。

CloudSEK的研究员Prajwal Awasthi在本周发布的报告中表示：“此次攻击活动利用图标伪装和恶意Word文档，投放基于Rust语言开发的植入程序。该植入程序具备异步命令与控制（C2）通信、反分析、通过注册表实现持久化以及模块化扩展等能力。”

这一最新进展表明MuddyWater的攻击手法持续演变。该组织已逐步但稳步减少对合法远程访问软件作为入侵后工具的依赖，转而采用多样化的定制恶意软件库，包括Phoenix、UDPGangster、BugSleep和MuddyViper等工具。

该黑客组织被评估隶属于伊朗情报与安全部，其活动至少可追溯至2017年。

传播RustyWater的攻击链较为直接：伪装成网络安全指南的鱼叉式钓鱼邮件附带一个Microsoft Word文档。当受害者打开文档时，会收到“启用内容”的提示，一旦执行，便会激活一个负责部署Rust植入程序的恶意VBA宏。

RustyWater会收集受害者计算机信息、检测已安装的安全软件、通过Windows注册表项建立持久化，并与命令与控制（C2）服务器（”nomercys.it[.]com”）建立联系，以执行文件操作和命令。

值得注意的是，Seqrite Labs在上月底曾报告RUSTRIC被用于针对以色列的信息技术（IT）公司、管理服务提供商（MSP）、人力资源及软件开发公司的攻击活动中。这家网络安全公司将该活动追踪命名为UNG0801和Operation IconCat。

CloudSEK指出：“从历史手法看，MuddyWater一直依赖PowerShell和VBS加载程序进行初始入侵和后续操作。此次引入基于Rust语言的植入程序，标志着其工具链向更结构化、模块化和低噪声的远程访问木马能力显著演进。”

END

阅读推荐

【安全圈】BreachForums论坛数据库32.4万个账户泄露

【安全圈】Meta澄清Instagram“密码重置风暴”非发生数据泄露

【安全圈】恶性 Chrome 扩展盗窃用户信息

【安全圈】2025年中国十大宕机事件

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】MuddyWater 黑客组织通过鱼叉式钓鱼向中东多部门传播 RustyWater 远程木马》