Campanya d'atac de l'Operació Olampa

El grup cibernètic MuddyWater, alineat amb l'estat iranià, també conegut com a Earth Vetala, Mango Sandstorm i MUDDYCOAST, ha llançat una nova campanya cibernètica anomenada Operació Olalampo. L'operació s'ha dirigit principalment a organitzacions i individus de tota la regió de l'Orient Mitjà i el Nord d'Àfrica (MENA).

Detectada per primera vegada el 26 de gener de 2026, la campanya introdueix diverses famílies noves de programari maliciós mentre reutilitza components prèviament associats amb el grup. Els investigadors de seguretat informen que l'activitat reflecteix una continuació dels patrons operatius establerts de MuddyWater, reforçant la seva presència persistent a la regió META (Orient Mitjà, Turquia i Àfrica).

Vectors d’infecció i cadenes d’atac

La campanya segueix una metodologia d'intrusió familiar, coherent amb les operacions anteriors de MuddyWater. L'accés inicial normalment comença amb correus electrònics de spear-phishing que contenen fitxers adjunts maliciosos de Microsoft Office. Aquests documents incorporen codi macro dissenyat per descodificar i executar càrregues útils al sistema de la víctima, atorgant finalment el control remot als atacants.

S'han observat diverses variacions d'atac:

• Un document maliciós de Microsoft Excel demana a les víctimes que activin les macros, cosa que desencadena el desplegament del CHAR de porta del darrere basat en Rust.
• Una variant relacionada proporciona el descarregador GhostFetch, que posteriorment instal·la l'implant GhostBackDoor.
• Una tercera cadena d'infecció utilitza esquers temàtics com ara bitllets d'avió o informes operatius, en lloc de fer-se passar per una empresa de serveis energètics i marins de l'Orient Mitjà, per distribuir el descarregador HTTP_VIP. Aquesta variant finalment instal·la l'aplicació d'escriptori remot AnyDesk per a l'accés persistent.

A més, s'ha observat que el grup explota vulnerabilitats recentment revelades en servidors amb connexió a Internet per obtenir accés inicial a entorns objectiu.

Arsenal de programari maliciós: eines personalitzades i implants modulars

L'Operació Olalampo es basa en un ecosistema de programari maliciós estructurat i multietapa dissenyat per al reconeixement, la persistència i el control remot. Les eines principals identificades en aquesta campanya inclouen:

GhostFetch : un descarregador de primera etapa que crea perfils de sistemes compromesos validant el moviment del ratolí i la resolució de la pantalla, detectant eines de depuració, identificant artefactes de màquines virtuals i comprovant si hi ha programari antivirus. Recupera i executa càrregues útils secundàries directament a la memòria.

GhostBackDoor : un implant de segona fase subministrat per GhostFetch. Permet l'accés interactiu a l'intèrpret d'ordres, operacions de lectura/escriptura de fitxers i pot reiniciar GhostFetch.

HTTP_VIP : un descarregador natiu que realitza un reconeixement del sistema i es connecta al domini extern "codefusiontech(dot)org" per a l'autenticació. Implementa AnyDesk des d'un servidor de comandament i control (C2). Una versió més recent millora la funcionalitat amb la recopilació de dades de les víctimes, l'execució interactiva de shell, les transferències de fitxers, la captura del porta-retalls i els intervals de balises configurables.

CHAR : una porta del darrere basada en Rust controlada a través d'un bot de Telegram identificat com a "Olalampo" (nom d'usuari: stager_51_bot). Admet la navegació per directoris i l'execució d'ordres cmd.exe o PowerShell.

La funcionalitat de PowerShell associada amb CHAR permet l'execució d'un proxy invers SOCKS5 o una porta del darrere addicional anomenada Kalim. També facilita l'exfiltració de dades del navegador i inicia executables etiquetats com a "sh.exe" i "gshdoc_release_X64_GUI.exe".

Desenvolupament assistit per IA i solapament de codi

L'anàlisi tècnica del codi font de CHAR va revelar indicadors de desenvolupament assistit per intel·ligència artificial. La presència d'emojis dins de les cadenes de depuració s'alinea amb troballes anteriors revelades per Google, que va informar que MuddyWater ha estat experimentant amb eines d'IA generativa per millorar el desenvolupament de programari maliciós, especialment per a les capacitats de transferència de fitxers i execució remota.

Una anàlisi més detallada mostra similituds estructurals i ambientals entre CHAR i el programari maliciós basat en Rust, BlackBeard, també conegut com a Archer RAT o RUSTRIC, que el grup havia desplegat anteriorment contra entitats de l'Orient Mitjà. Aquestes superposicions suggereixen pipelines de desenvolupament compartits i un refinament iteratiu de les eines.

Ampliació de capacitats i intenció estratègica

MuddyWater continua sent un actor d'amenaces persistent i en evolució dins de la regió META. La integració del desenvolupament assistit per IA, el refinament continu del programari maliciós a mida, l'explotació de vulnerabilitats de cara al públic i la diversificació de la infraestructura C2 demostren col·lectivament un compromís a llarg termini amb l'expansió operativa.

L'Operació Olalampo subratlla l'enfocament sostingut del grup en objectius basats a la regió MENA i destaca la creixent sofisticació de les seves capacitats d'intrusió. Les organitzacions que operen a la regió haurien de mantenir una vigilància més elevada, fer complir les restriccions macro, supervisar les comunicacions de comandament i control (C2) sortints i prioritzar la remediació oportuna de vulnerabilitats per mitigar l'exposició a aquest panorama d'amenaces en evolució.