كشفت تقارير أمنية أن مجموعة MuddyWater، المرتبطة بوزارة الاستخبارات والأمن الإيرانية (MOIS)، شنت حملة تصيّد موجّهة استهدفت كيانات دبلوماسية وبحرية ومالية واتصالات في الشرق الأوسط. الحملة اعتمدت على مستندات Word خبيثة ورسائل بريد إلكتروني تتظاهر بأنها إرشادات أمنية سيبرانية، لتوزيع برمجية جديدة مكتوبة بلغة Rust تحمل اسم RustyWater.
خصائص برمجية RustyWater
بحسب تقرير شركة CloudSEK، فإن البرمجية الجديدة تتميز بقدرات متقدمة تشمل:
- إنشاء اتصال غير متزامن مع خوادم التحكم والسيطرة (C2).
- تقنيات مضادة للتحليل واكتشاف أدوات الحماية.
- آليات استمرارية عبر مفاتيح سجل ويندوز.
- بنية معيارية تسمح بتوسيع القدرات بعد الاختراق.
كما تُعرف البرمجية أيضاً بأسماء Archer RAT وRUSTRIC، وتقوم بجمع معلومات الجهاز، واكتشاف برامج الحماية المثبتة، وتنفيذ أوامر وتحميل ملفات عبر خادم C2 بعنوان nomercys.it[.]com.
تطور أدوات المجموعة
يمثل ظهور RustyWater استمراراً لتطور أدوات MuddyWater، التي قللت تدريجياً من اعتمادها على برامج الوصول عن بُعد الشرعية، واتجهت إلى تطوير ترسانة برمجيات خبيثة خاصة بها مثل:
- Phoenix
- UDPGangster
- BugSleep (MuddyRot)
- MuddyViper
هذا التحول يعكس سعي المجموعة إلى بناء أدوات أكثر هيكلية وأقل ضجيجاً، بما يتيح لها تنفيذ عمليات تجسس سيبراني أكثر دقة واستمرارية.
نشاطات حديثة مرتبطة بـ RUSTRIC
في ديسمبر الماضي، رصدت Seqrite Labs استخدام برمجية RUSTRIC ضمن هجمات استهدفت شركات تقنية المعلومات، مزوّدي الخدمات المُدارة (MSPs)، أقسام الموارد البشرية، وشركات تطوير البرمجيات في إسرائيل. هذه الأنشطة يتم تتبعها تحت أسماء UNG0801 وOperation IconCat.
دلالات استراتيجية
منذ عام 2017، تُعرف مجموعة MuddyWater، التي تُسمى أيضاً Mango Sandstorm وStatic Kitten وTA450، بأنها إحدى أبرز أدوات إيران في التجسس السيبراني. إدخال برمجيات مكتوبة بلغة Rust يمثل نقلة نوعية في أسلوبها، ويؤكد على توجهها نحو تطوير أدوات هجومية أكثر مرونة وقدرة على تجاوز الدفاعات التقليدية.
