El actor de amenazas iraní conocido como Agua fangosa se ha atribuido a una campaña de suplantación de identidad dirigida a entidades diplomáticas, marítimas, financieras y de telecomunicaciones de Oriente Medio con un implante basado en Rust con nombre en código Agua oxidada .

«La campaña utiliza la suplantación de iconos y documentos de Word maliciosos para ofrecer implantes basados en Rust capaces de generar C2 asincrónico, antianálisis, persistencia del registro y una expansión modular de la capacidad posterior al compromiso», dijo Prajwal Awasthi, resetador de CloudSEK dijo en un informe publicado esta semana.

El último desarrollo refleja la evolución continua del oficio de MuddyWater, que se ha desarrollado de forma gradual pero constante redujo su dependencia sobre el software legítimo de acceso remoto como herramienta posterior a la explotación en favor de un arsenal diverso de malware que incluye herramientas como Phoenix, gangster del UDP , BugSleep (también conocido como MuddyRot) y MuddyViper .

También rastreado como Mango Sandstorm, Static Kitten y TA450, se considera que el grupo de hackers está afiliado al Ministerio de Inteligencia y Seguridad (MOIS) de Irán. Ha estado en funcionamiento al menos desde 2017.

Las cadenas de ataque que distribuyen RustyWater son bastante sencillas: los correos electrónicos de suplantación de identidad que se hacen pasar por directrices de ciberseguridad son atacados con un documento de Microsoft Word que, al abrirlo, indica a la víctima que» Habilitar contenido «para activar la ejecución de una macro VBA maliciosa que es responsable de implementar el binario del implante Rust.

También conocido como Archer RAT y RUSTRIC, RustyWater recopila información sobre las máquinas de las víctimas, detecta el software de seguridad instalado, configura la persistencia mediante una clave de registro de Windows y establece contacto con un servidor de comando y control (C2) («nomercys.it [.] com») para facilitar las operaciones de archivos y la ejecución de comandos.

Vale la pena señalar que el uso de RUSTRIC fue marcado realizado por Seqrite Labs a finales del mes pasado como parte de los ataques dirigidos a empresas de tecnología de la información (TI), proveedores de servicios gestionados (MSP), recursos humanos y empresas de desarrollo de software en Israel. La empresa de ciberseguridad está rastreando la actividad con los nombres UNG0801 y Operation IconCat.

«Históricamente, MuddyWater ha confiado en los cargadores PowerShell y VBS para el acceso inicial y las operaciones posteriores al compromiso», afirma CloudSEK. «La introducción de los implantes basados en óxido representa una evolución notable de las herramientas hacia capacidades RAT más estructuradas, modulares y con un bajo nivel de ruido».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.