イランの脅威アクター集団MuddyWaterは、中東全域の組織に対する攻勢を強化し、Rustプログラミング言語で作成された高度な新種のマルウェアを展開している。このキャンペーンは主に、外交使節団、通信事業者、海上輸送企業、金融機関を標的としている。
CloudSEKのアナリストによる評価によれば、攻撃者はサイバーセキュリティ勧告を装ったスピアフィッシングのメールを拡散している。これらのメールには有害なマクロが埋め込まれたMicrosoft Word文書が含まれており、内容が有効化されるとRustyWaterと呼ばれるプログラムの取得が開始される。このリモートアクセス型トロイの木馬(RAT)は、フォレンジック分析を回避し、ホスト環境内で永続性を維持し、初期侵害後に機能レパートリーを拡張するよう綿密に設計されている。
RustyWater(別名Archer RATおよびRUSTRIC)は、詳細なシステムテレメトリを流出させ、防御ソフトウェアの存在を監査し、長期的な永続性を確保するためにWindowsレジストリキーを作成する。その後、コマンド&コントロール(C2)サーバーへの接続を開始し、任意の命令を実行してファイルを操作する。
RUSTRICの利用は、最近Seqrite Labsによっても裏付けられた。12月には、イスラエルにおいてテクノロジー企業、マネージドITサービスプロバイダー、人事およびソフトウェア開発を専門とする部門を標的とした侵入を記録している。これらの動きはUNG0801およびOperation IconCatという名称で追跡されている。
アナリストは、このグループの戦術が新たな高度化の段階に達していると指摘する。MuddyWaterは以前、初期侵入やラテラルムーブメントにPowerShellやVBSスクリプトといった従来型のツールを好んで用いていたが、その後、複雑なアーキテクチャと極めて低い検知率を特徴とする独自ソリューションへ移行した。RustyWaterに加え、同グループの現在の兵器庫にはPhoenix、UDPGangster、BugSleep、MuddyViperといった悪性プログラムが含まれる。
この集団はMango Sandstorm、Static Kitten、TA450といった別名でも知られ、イラン情報省と関係があると広く考えられており、少なくとも2017年から活動している。正規のリモート管理ツールから独自のマルウェアへ移行したことは、作戦成熟度の計算された進化と、諜報活動の有効性向上に対する揺るぎないコミットメントを浮き彫りにしている。
