A MuddyWater, grupo de ameaça persistente avançada associado ao Irã, voltou a chamar a atenção da comunidade de segurança ao lançar uma nova campanha de espionagem digital baseada no malware RustyWater. Detectada em janeiro de 2026, a operação tem como foco principal organizações estratégicas no Oriente Médio e marca um avanço técnico relevante ao adotar a linguagem Rust como base para o desenvolvimento do código malicioso. A mudança sinaliza uma evolução clara na maturidade do grupo e reforça o alerta para profissionais de TI e segurança que atuam na defesa de ambientes Windows e Linux.
A campanha tem como objetivo coletar informações sensíveis de governos e empresas ligadas a infraestrutura crítica, mantendo acesso persistente aos sistemas comprometidos de forma silenciosa. O uso do RustyWater mostra que a MuddyWater está investindo em ferramentas mais robustas, menos dependentes de utilitários legítimos do sistema e mais difíceis de analisar e detectar com soluções tradicionais de segurança.
A evolução técnica: Do PowerShell ao Rust
Durante anos, a MuddyWater ficou conhecida por abusar de ferramentas nativas do Windows, como scripts em PowerShell, WMI e utilitários legítimos já presentes no sistema operacional. Essa abordagem, conhecida como living off the land, ajudava a reduzir a superfície de detecção, mas também impunha limitações técnicas e maior dependência do ambiente da vítima.
Com o RustyWater, o grupo dá um passo além ao adotar binários personalizados escritos em Rust. Essa linguagem tem se tornado cada vez mais popular entre desenvolvedores de malware por oferecer alto desempenho, controle preciso de memória e, principalmente, maior dificuldade de engenharia reversa. Binários em Rust costumam gerar artefatos mais complexos, com estruturas menos familiares para analistas acostumados a código em C ou C++.
Outro ponto relevante é a modularidade. O RustyWater foi projetado de forma modular, permitindo que novos recursos sejam adicionados ou removidos conforme o alvo ou a fase da operação. Isso reduz a necessidade de redistribuir o malware completo e dificulta a criação de assinaturas estáticas eficazes por parte dos antivírus. Para a MuddyWater, essa mudança representa mais flexibilidade operacional e maior longevidade das campanhas de espionagem.
Anatomia do ataque: Como o RustyWater infecta as vítimas
A cadeia de infecção observada na campanha do RustyWater segue um modelo clássico de ataques direcionados, mas com refinamentos que aumentam a taxa de sucesso e a discrição da operação. O foco está na engenharia social e na execução inicial controlada, preparando o ambiente para a instalação do malware principal.
O vetor de entrada: Spear-phishing e macros VBA
O ponto inicial do ataque é o spear-phishing, com e-mails cuidadosamente elaborados e direcionados a indivíduos específicos dentro das organizações-alvo. As mensagens simulam comunicações legítimas, muitas vezes relacionadas a assuntos diplomáticos, relatórios técnicos ou documentos administrativos urgentes.
Os anexos costumam ser arquivos do Microsoft Office contendo macros VBA maliciosas. Quando a vítima habilita as macros, um script inicial é executado, responsável por baixar e iniciar o carregador do RustyWater. Esse estágio intermediário ajuda a contornar filtros de e-mail e soluções de sandbox, já que o malware completo não está presente no anexo original.
Capacidades do malware e persistência no registro
Uma vez executado, o RustyWater estabelece comunicação com sua infraestrutura de comando e controle, ou C2, utilizando canais criptografados e padrões de tráfego discretos. A partir daí, o operador pode executar comandos remotamente, coletar arquivos, capturar informações do sistema e expandir o controle sobre a máquina comprometida.
Para garantir persistência, o malware modifica chaves específicas do registro do Windows, assegurando que seja iniciado automaticamente a cada reinicialização do sistema. Em alguns casos, também foram observadas técnicas adicionais de persistência, como a criação de tarefas agendadas com nomes que imitam componentes legítimos do sistema. Esse conjunto de capacidades torna o RustyWater uma ferramenta eficaz para espionagem de longo prazo.
Quem é o alvo e quais as implicações
Os alvos da campanha do RustyWater refletem os interesses estratégicos da MuddyWater. Entre os setores mais afetados estão diplomacia, tecnologia da informação, telecomunicações e organizações ligadas à gestão de infraestrutura crítica. Esses ambientes concentram dados valiosos, comunicações sensíveis e informações que podem ser exploradas em contextos geopolíticos.
Analistas de segurança atribuem o grupo ao Ministério da Inteligência e Segurança do Irã, conhecido como MOIS. Essa ligação reforça o caráter estatal da operação e explica o foco em espionagem, em vez de crimes financeiros tradicionais. A adoção de Rust também indica acesso a desenvolvedores qualificados e a recursos suficientes para manter ferramentas próprias, algo típico de grupos patrocinados por governos.
As implicações vão além das vítimas diretas. A evolução técnica da MuddyWater pressiona empresas e órgãos públicos a revisarem suas estratégias de defesa, especialmente em relação à detecção de malware moderno e ao treinamento de usuários contra ataques de spear-phishing cada vez mais convincentes.
Conclusão e como se proteger
O surgimento do RustyWater confirma que a MuddyWater continua evoluindo e se adaptando ao cenário de defesa digital. A transição para binários em Rust aumenta a sofisticação dos ataques e dificulta o trabalho de detecção e resposta a incidentes, elevando o nível de risco para organizações que lidam com informações sensíveis.
Para reduzir a exposição a esse tipo de ameaça, é fundamental adotar uma postura preventiva. Usuários devem redobrar o cuidado com anexos recebidos por e-mail, mesmo quando aparentam ser legítimos. A desativação de macros não assinadas por padrão, aliada a políticas restritivas de execução, pode bloquear o vetor inicial de infecção. Do ponto de vista técnico, soluções de segurança comportamental e monitoramento de atividades anômalas no sistema e no registro são essenciais para identificar infecções que escapam de assinaturas tradicionais.
Acompanhar análises atualizadas sobre grupos como a MuddyWater e investir em conscientização contínua são passos decisivos para manter ambientes mais resilientes. No cenário atual, informação e preparação continuam sendo as melhores defesas contra campanhas de espionagem cada vez mais avançadas.
