Una nuova campagna di spear phishing sta colpendo organizzazioni in Medio Oriente e mette in evidenza l’evoluzione delle tecniche di cyber spionaggio legate al gruppo MuddyWater. I bersagli includono settori ad alto valore come diplomazia, marittimo, finanza e telecomunicazioni. Il punto centrale dell’attacco è la distribuzione di un trojan di accesso remoto (RAT) basato su Rust, noto come RustyWater, progettato per ottenere controllo persistente sui sistemi compromessi e mantenere comunicazioni stabili con server di comando e controllo.

La catena di infezione è relativamente semplice ma efficace. Le vittime ricevono email mirate che si presentano come linee guida di cybersecurity o documentazione tecnica credibile. In allegato compare un file Microsoft Word con tecniche di icon spoofing, cioè con icone e nomi studiati per sembrare legittimi. Una volta aperto, il documento invita l’utente ad abilitare il contenuto per eseguire macro. Questa richiesta, comune nei casi di malware via Office, attiva una macro VBA malevola che avvia il rilascio dell’impianto RustyWater sul sistema Windows.

Dopo l’esecuzione, RustyWater raccoglie informazioni sulla macchina della vittima, inclusi dettagli utili alla profilazione e alla selezione delle azioni successive. Un aspetto importante è la capacità di rilevare software di sicurezza installati, utile per adattare il comportamento e ridurre la probabilità di rilevamento. Per garantire persistenza, il malware crea una chiave nel registro di Windows, così da riavviarsi automaticamente e mantenere l’accesso anche dopo reboot.

La comunicazione con il server C2 avviene in modo asincrono, caratteristica che aiuta a gestire comandi e risposte senza flussi troppo rumorosi. Una volta connesso, il RAT permette operazioni su file e l’esecuzione di comandi, aprendo la strada a ulteriori fasi post-compromissione e a una possibile espansione modulare delle funzionalità.

Questa campagna evidenzia anche un cambiamento strategico: il gruppo sta riducendo l’uso di strumenti legittimi di remote access a favore di un arsenale personalizzato di malware. L’adozione di Rust per impianti RAT indica una spinta verso tool più strutturati, modulari e difficili da analizzare, con impatto diretto sulle difese email security e sulla protezione degli endpoint.