Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants RAT de RustyWater

RAT de RustyWater

Par Mezo en Logiciels malveillants, Menace persistante avancée (APT), Outils d'administration à distance
Se traduisent par :

Le groupe de cybercriminels MuddyWater, lié à l'Iran, est accusé d'avoir lancé une nouvelle campagne de spear-phishing ciblant des organisations diplomatiques, maritimes, financières et de télécommunications au Moyen-Orient. Cette campagne repose sur un implant basé sur Rust, baptisé RustyWater, et marque une nouvelle étape dans l'évolution du groupe vers le développement de logiciels malveillants personnalisés.

Également connu sous les noms de Mango Sandstorm, Static Kitten et TA450, le groupe MuddyWater est largement considéré comme agissant pour le compte du ministère iranien du Renseignement et de la Sécurité (MOIS). Actif depuis au moins 2017, il cible en permanence des institutions gouvernementales et des entreprises privées de la région.

Vecteur d’infection : Documents piégés et tromperie visuelle

La chaîne d'attaque est relativement simple mais efficace. Les victimes reçoivent des courriels d'hameçonnage ciblés, conçus pour ressembler à des guides officiels de cybersécurité. Ces messages contiennent une pièce jointe malveillante de type Microsoft Word qui utilise l'usurpation d'icônes pour paraître légitime.

À l'ouverture du document, l'utilisateur est invité à « Activer le contenu ». Accepter cette demande déclenche une macro VBA malveillante qui dépose et exécute un programme malveillant basé sur Rust. Cette étape d'ingénierie sociale demeure cruciale pour le succès de la campagne.

Capacités des logiciels malveillants : à l’intérieur de l’implant RustyWater

RustyWater, également connu sous les noms d'Archer RAT ou RUSTRIC, est un cheval de Troie d'accès à distance modulaire conçu pour la furtivité et la flexibilité. Une fois déployé, il collecte des informations détaillées sur le système infecté, vérifie la présence de logiciels de sécurité installés et s'installe durablement grâce à une clé de registre Windows.

L'implant établit ensuite une communication avec un serveur de commande et de contrôle à l'adresse « nomercys.it[.]com », permettant une interaction asynchrone. Par ce biais, les opérateurs peuvent exécuter des commandes, gérer des fichiers et étendre les fonctionnalités via des modules complémentaires, assurant ainsi la continuité des opérations après compromission.

Évolution des techniques de travail : de la vie en autarcie à l’outillage sur mesure

Historiquement, MuddyWater s'appuyait fortement sur des chargeurs PowerShell et VBS, ainsi que sur des outils d'accès à distance légitimes, pour mener à bien l'accès initial et les activités ultérieures. Au fil du temps, le groupe a délibérément réduit cette dépendance au profit d'un portefeuille croissant de logiciels malveillants sur mesure.

Cet écosystème personnalisé comprend des outils tels que Phoenix, UDPGangster, BugSleep (également appelé MuddyRot) et MuddyViper. L'adoption d'implants basés sur Rust témoigne d'une évolution vers des capacités plus structurées, modulaires et moins bruyantes, donc plus difficiles à analyser et à détecter.

Activités plus larges : RUSTRIC au-delà du Moyen-Orient

Fin décembre 2025, des chercheurs ont signalé l'utilisation de RUSTRIC dans une série d'intrusions connexes ciblant des entreprises informatiques, des fournisseurs de services gérés, des services des ressources humaines et des sociétés de développement de logiciels en Israël. Cette activité est suivie sous les noms de code UNG0801 et Opération IconCat.

Ces résultats soulignent que RustyWater n'est pas une expérience isolée, mais un élément actif de la panoplie offensive en expansion de MuddyWater.

Implications stratégiques : un adversaire plus mature

L'apparition de RustyWater souligne l'investissement continu de MuddyWater dans des logiciels malveillants spécialement conçus pour la persistance, l'extension modulaire et l'évasion. Cette évolution témoigne d'une approche opérationnelle plus mature, avec des outils permettant un accès plus discret et à plus long terme plutôt qu'une activité ouverte et massive basée sur des scripts.

Pour les équipes de défense, cette évolution renforce la nécessité d'examiner attentivement les leurres d'hameçonnage basés sur des documents, de surveiller les mécanismes de persistance basés sur le registre et d'inspecter de près les connexions sortantes inhabituelles, en particulier celles associées aux nouvelles familles de logiciels malveillants Rust observées.

Tendance

Terminez le processus d'authentification. Arnaque...

Hameçonnage, Courrier indésirable
Les courriels inattendus exigeant une action urgente sont une technique courante de la cybercriminalité moderne. Il est essentiel de rester vigilant, car un simple clic imprudent peut exposer des informations sensibles ou donner aux pirates l'accès à des comptes personnels. L'escroquerie par courriel « Terminez le processus d'authentification » illustre parfaitement comment des messages...

Le plus regardé

Chargement...