RustyWater: El sigiloso malware en Rust de Muddy Water APT se infiltra en infraestructuras críticas de Oriente Medio

Todo comenzó con un correo electrónico - aparentemente rutinario, titulado “Directrices de ciberseguridad”, enviado desde lo que parecía ser una dirección oficial de telecomunicaciones de Turkmenistán. Pero para un puñado de destinatarios desprevenidos en los sectores diplomático, marítimo y de telecomunicaciones de Oriente Medio, este mensaje fue el primer disparo de una sofisticada campaña cibernética. Detrás de la cortina: Muddy Water, un APT vinculado a Irán, ahora armado con una nueva arma en su arsenal - un implante modular y difícil de detectar basado en Rust, que los investigadores han bautizado como “RustyWater”.

Muddy Water, también conocido como Earth Vetala, MERCURY y Mango Sandstorm, ha sido durante mucho tiempo conocido por sus ataques basados en PowerShell y VBS. Pero la investigación más reciente de CloudSEK revela una evolución dramática: el nuevo implante “RustyWater” del grupo, construido en el lenguaje de programación Rust, marca un giro estratégico hacia la discreción, la flexibilidad y la resiliencia.

La cadena de ataque comienza con correos electrónicos de apariencia inocente - a veces suplantando a empresas de telecomunicaciones o recursos humanos de confianza - que atraen a las víctimas para que abran documentos de Word con trampas ocultas. Estos archivos contienen macros encubiertas que decodifican y depositan una carga maliciosa disfrazada (“CertificationKit.ini”) en la máquina objetivo. El verdadero peligro comienza cuando RustyWater se ejecuta: se activan rutinas anti-depuración, el malware cifra sus propias cadenas y de inmediato comienza a buscar más de 25 herramientas antivirus y EDR, asegurando una estancia silenciosa.

La persistencia se logra mediante una manipulación inteligente del registro de Windows, específicamente la clave “Run”, lo que garantiza que el malware sobreviva a los reinicios. La comunicación con sus operadores es igual de astuta - RustyWater utiliza canales C2 basados en HTTP, codificando los datos robados con tres capas de ofuscación (JSON, Base64, XOR), e introduce ‘jitter’ aleatorio en su tráfico de red, haciendo que la detección por herramientas de seguridad convencionales sea un juego de adivinanzas.

El diseño modular de RustyWater permite añadir nuevas capacidades - robo de datos, recolección de credenciales, incluso acceso remoto completo - sobre la marcha, todo sin necesidad de volver a desplegar el malware. Para los defensores, esto supone una pesadilla: ejecución solo en memoria, balizas retardadas y evidencia mínima en disco complican tanto la detección como la respuesta forense. Los bloqueos de red estáticos y las defensas basadas en firmas son prácticamente inútiles ante esta amenaza ágil.

El consejo de CloudSEK es claro: monitorear los cambios en el registro, examinar las modificaciones de procesos en contexto de usuario y buscar señales reveladoras de actividad C2 en capas - especialmente tráfico HTTP con intervalos aleatorios o transformación de datos en múltiples etapas. Los equipos de seguridad también deben vigilar asignaciones sospechosas de memoria y manipulación de hilos en procesos aparentemente benignos, y tratar cualquier activación tardía de funciones de acceso remoto como una señal de alerta.

A medida que evolucionan las tácticas de Muddy Water, también deben hacerlo las defensas de quienes tienen la tarea de proteger infraestructuras críticas. La era de “RustyWater” ya está aquí - un recordatorio inquietante de que incluso los adversarios conocidos pueden reinventarse, y que el próximo ataque puede estar ya al acecho, esperando silenciosamente su momento para golpear.

WIKICROOK

• APT (Amenaza Persistente Avanzada): Una Amenaza Persistente Avanzada (APT) es un ciberataque dirigido y de larga duración llevado a cabo por grupos expertos, a menudo respaldados por estados, con el objetivo de robar datos o interrumpir operaciones.
• Rust: Rust es un lenguaje de programación moderno enfocado en la seguridad y la velocidad, que ayuda a los desarrolladores a evitar errores comunes y escribir código seguro y confiable.
• Spearphishing: El spearphishing es una estafa de correo electrónico dirigida en la que los atacantes se hacen pasar por fuentes de confianza para engañar a los destinatarios y lograr que hagan clic en enlaces maliciosos o compartan datos sensibles.
• Comando y Control (C2): Comando y Control (C2) es el sistema que los hackers utilizan para controlar remotamente dispositivos infectados y coordinar ciberataques maliciosos.
• Ofuscación: La ofuscación es la práctica de disfrazar código o datos para dificultar que humanos o herramientas de seguridad los entiendan, analicen o detecten.