MuddyWater setzt auf neue Rust-Malware

Der iranische Hackergruppe MuddyWater hat ihre Spionagetaktik modernisiert und setzt jetzt auf eine schwer zu entdeckende Malware namens „RustyWater“. Der Wechsel zur Programmiersprache Rust markiert eine gefährliche Evolution für den staatlich unterstützten Akteur.

Seit Anfang Januar 2026 verteilt die Gruppe das neue Schadprogramm über präparierte Microsoft Word-Dokumente. Diese werden per Spear-Phishing an ausgewählte Ziele verschickt, oft getarnt als offizielle Kommunikation von Telekommunikationsanbietern oder Behörden. Ein typischer Betreff lautet „Cybersecurity Guidelines“. Öffnet das Opfer die Datei und aktiviert Makros, wird die Rust-basierte Schadsoftware installiert.

Vom Word-Dokument zur System-Infiltration

Die Infektionskette ist klassisch, aber wirkungsvoll. Ein eingebettetes VBA-Skript entschlüsselt einen im Dokument versteckten Payload und schreibt ihn als CertificationKit.ini auf die Festplatte. Anschließend wird die eigentliche Rust-Malware gestartet. Dieser Wechsel von Skriptsprachen wie PowerShell zu einer kompilierten Sprache wie Rust ist strategisch: Rust-Programme sind für viele Sicherheitssysteme schwerer zu analysieren und zu erkennen.

Phishing-Mails mit präparierten Word-Dokumenten sind derzeit die verbreitetste Einfallspforte für Spionageware. Ein neues Anti-Phishing‑Paket erklärt in einer klaren 4‑Schritte-Anleitung, wie IT‑Verantwortliche und Mitarbeiter gefälschte Absender erkennen, makrohaltige Anhänge blockieren und CEO‑Fraud verhindern. Der Praxis-Guide enthält branchenspezifische Checklisten und Sofortmaßnahmen, die Sie sofort umsetzen können. Der Download ist kostenlos und richtet sich an IT‑Verantwortliche in Unternehmen und Behörden. Jetzt das Anti-Phishing-Paket herunterladen

Tarnkappen-Funktionen für maximale Tarnung

„RustyWater“ ist für Stealth und Persistenz optimiert. Direkt nach der Ausführung sucht die Malware nach über 25 verschiedenen Antiviren- und EDR-Produkten (Endpoint Detection and Response). Sie prüft Dienstnamen und Installationspfade, um die Sicherheitslage des kompromittierten Rechners einzuschätzen.

Um dauerhaft auf dem System zu bleiben, manipuliert sie die Windows-Registry für einen Autostart-Eintrag. Die Kommunikation mit dem Command-and-Control-Server (C2) erfolgt asynchron, um sich in normalen Netzwerkverkehr einzublenden und keine Alarme auszulösen.

Ein strategischer Schachzug mit Signalwirkung

Experten werten den Einsatz von Rust als gezielte Modernisierung des Arsenals von MuddyWater. Die Gruppe, auch als TA450 bekannt, war zuvor für ihre Nutzung von „Living-off-the-Land“-Binaries (LOLBins) bekannt, die zunehmend leichter zu erkennen sind. Rust ermöglicht es, „leiser“ in Bezug auf verhaltensbasierte Erkennung zu operieren.

Diese Entwicklung spiegelt einen Branchentrend wider: Immer mehr Bedrohungsakteure setzen auf plattformübergreifende Sprachen wie Go und Rust. Sie erleichtern nicht nur die Umgehung von Sicherheitsvorkehrungen, sondern ermöglichen es, den Schadcode mit minimalen Änderungen für verschiedene Betriebssysteme anzupassen.

Fokus auf den Nahen Osten – mit globalem Risiko

Die aktuelle Kampagne zielt hochspezifisch auf kritische Sektoren im Nahen Osten ab, darunter:
* Diplomatische Vertretungen
* Maritim-Operationen
* Finanzinstitute
* Telekommunikationsanbieter

Obwohl die unmittelbare Bedrohung regional konzentriert ist, warnen Cybersicherheitsfirmen vor einem Überschwappen der Taktiken. Europäische Organisationen mit Geschäftsbeziehungen in die Region sollten besonders wachsam bei unerwarteten E-Mails mit Makro-Dokumenten sein.

Was kommt als Nächstes?

Die Einführung von „RustyWater“ deutet auf langfristige Investitionen von MuddyWater in schwer aufzuspürende Spionagefähigkeiten hin. Sicherheitsteams rechnen damit, dass die Gruppe ihr Rust-Toolset weiter verfeinert und möglicherweise ihr Zielspektrum erweitert.

Der effektivste Schutz bleibt vorerst eine rigorose E-Mail-Filterung, das standardmäßige Deaktivieren von Makros und die Aktualisierung von EDR-Lösungen, um auch die Verhaltenssignaturen von Rust-Malware zu erkennen.

PS: Wenn Ihre Organisation gezielte Spear‑Phishing- oder Malware-Kampagnen fürchtet, hilft dieser kostenlose Report mit konkreten Abwehrstrategien. Der Guide zeigt, welche technischen Einstellungen E-Mail‑Gateways und Endgeräte härten, wie Sie Mitarbeitertests aufsetzen, welche organisatorischen Regeln sofort Wirkung zeigen und welche Sofortmaßnahmen helfen, infizierte Makro‑Dokumente zu stoppen. Ideal für IT‑Leiter und Sicherheitsbeauftragte, die schnell wirksame Schutzmaßnahmen einführen wollen. Gratis Anti-Phishing-Guide sichern