Επιχείρηση Olalambo Επιθετική Εκστρατεία
Η ιρανική κρατική ομάδα απειλών MuddyWater, η οποία καταγράφεται επίσης ως Earth Vetala, Mango Sandstorm και MUDDYCOAST, ξεκίνησε μια νέα κυβερνοεκστρατεία με την ονομασία Operation Olalampo. Η επιχείρηση στοχεύει κυρίως οργανισμούς και άτομα σε όλη την περιοχή της Μέσης Ανατολής και της Βόρειας Αφρικής (MENA).
Η καμπάνια, η οποία εντοπίστηκε για πρώτη φορά στις 26 Ιανουαρίου 2026, εισάγει πολλές νέες οικογένειες κακόβουλου λογισμικού, ενώ παράλληλα επαναχρησιμοποιεί στοιχεία που προηγουμένως σχετίζονταν με την ομάδα. Οι ερευνητές ασφαλείας αναφέρουν ότι η δραστηριότητα αντικατοπτρίζει τη συνέχιση των καθιερωμένων λειτουργικών προτύπων της MuddyWater, ενισχύοντας τη διαρκή παρουσία της σε όλη την περιοχή META (Μέση Ανατολή, Τουρκία και Αφρική).
Πίνακας περιεχομένων
Φορείς Λοίμωξης και Αλυσίδες Επίθεσης
Η καμπάνια ακολουθεί μια οικεία μεθοδολογία εισβολής, η οποία είναι συμβατή με προηγούμενες επιχειρήσεις MuddyWater. Η αρχική πρόσβαση συνήθως ξεκινά με email spear-phishing που περιέχουν κακόβουλα συνημμένα του Microsoft Office. Αυτά τα έγγραφα ενσωματώνουν κώδικα μακροεντολών που έχει σχεδιαστεί για να αποκωδικοποιεί και να εκτελεί ωφέλιμα φορτία στο σύστημα του θύματος, παρέχοντας τελικά απομακρυσμένο έλεγχο στους εισβολείς.
Έχουν παρατηρηθεί αρκετές παραλλαγές επίθεσης:
- Ένα κακόβουλο έγγραφο του Microsoft Excel ζητά από τα θύματα να ενεργοποιήσουν τις μακροεντολές, ενεργοποιώντας την ανάπτυξη του backdoor CHAR που βασίζεται στο Rust.
- Μια σχετική παραλλαγή παρέχει το πρόγραμμα λήψης GhostFetch, το οποίο στη συνέχεια εγκαθιστά το εμφύτευμα GhostBackDoor.
- Μια τρίτη αλυσίδα μόλυνσης χρησιμοποιεί θεματικά δολώματα όπως αεροπορικά εισιτήρια ή επιχειρησιακές αναφορές, αντί να μιμείται μια εταιρεία ενέργειας και θαλάσσιων υπηρεσιών της Μέσης Ανατολής, για τη διανομή του προγράμματος λήψης HTTP_VIP. Αυτή η παραλλαγή τελικά εγκαθιστά την εφαρμογή απομακρυσμένης επιφάνειας εργασίας AnyDesk για μόνιμη πρόσβαση.
Επιπλέον, έχει παρατηρηθεί ότι η ομάδα εκμεταλλεύεται πρόσφατα αποκαλυφθέντα τρωτά σημεία σε διακομιστές που συνδέονται στο διαδίκτυο για να αποκτήσει αρχική πρόσβαση σε στοχευμένα περιβάλλοντα.
Οπλοστάσιο κακόβουλου λογισμικού: Προσαρμοσμένα εργαλεία και αρθρωτά εμφυτεύματα
Η επιχείρηση Olalampo βασίζεται σε ένα δομημένο, πολυβάθμιο οικοσύστημα κακόβουλου λογισμικού σχεδιασμένο για αναγνώριση, επιμονή και τηλεχειρισμό. Τα κύρια εργαλεία που εντοπίστηκαν σε αυτήν την εκστρατεία περιλαμβάνουν:
GhostFetch – Ένα πρόγραμμα λήψης πρώτου σταδίου που δημιουργεί προφίλ παραβιασμένων συστημάτων επικυρώνοντας την κίνηση του ποντικιού και την ανάλυση της οθόνης, ανιχνεύοντας εργαλεία εντοπισμού σφαλμάτων, εντοπίζοντας αντικείμενα εικονικής μηχανής και ελέγχοντας για λογισμικό προστασίας από ιούς. Ανακτά και εκτελεί δευτερεύοντα ωφέλιμα φορτία απευθείας στη μνήμη.
GhostBackDoor – Ένα εμφύτευμα δεύτερου σταδίου που παρέχεται από το GhostFetch. Επιτρέπει την διαδραστική πρόσβαση σε κέλυφος, λειτουργίες ανάγνωσης/εγγραφής αρχείων και μπορεί να επανεκκινήσει το GhostFetch.
HTTP_VIP – Ένα εγγενές πρόγραμμα λήψης που εκτελεί αναγνώριση συστήματος και συνδέεται με τον εξωτερικό τομέα "codefusiontech(dot)org" για έλεγχο ταυτότητας. Αναπτύσσει το AnyDesk από έναν διακομιστή εντολών και ελέγχου (C2). Μια νεότερη έκδοση βελτιώνει τη λειτουργικότητα με τη συλλογή δεδομένων θυμάτων, την εκτέλεση διαδραστικού κελύφους, τις μεταφορές αρχείων, την καταγραφή στο πρόχειρο και τα διαμορφώσιμα διαστήματα beaconing.
CHAR – Ένα backdoor που βασίζεται στο Rust και ελέγχεται μέσω ενός bot Telegram που αναγνωρίζεται ως 'Olalampo' (όνομα χρήστη: stager_51_bot). Υποστηρίζει πλοήγηση σε καταλόγους και εκτέλεση εντολών cmd.exe ή PowerShell.
Η λειτουργικότητα PowerShell που σχετίζεται με το CHAR επιτρέπει την εκτέλεση ενός SOCKS5 reverse proxy ή ενός πρόσθετου backdoor με το όνομα Kalim. Διευκολύνει επίσης την εξαγωγή δεδομένων προγράμματος περιήγησης και εκκινεί εκτελέσιμα αρχεία με την ένδειξη 'sh.exe' και 'gshdoc_release_X64_GUI.exe'.
Ανάπτυξη με τη βοήθεια Τεχνητής Νοημοσύνης και Επικάλυψη Κώδικα
Η τεχνική ανάλυση του πηγαίου κώδικα του CHAR αποκάλυψε ενδείξεις ανάπτυξης με υποβοήθηση τεχνητής νοημοσύνης. Η παρουσία emojis μέσα στις συμβολοσειρές εντοπισμού σφαλμάτων ευθυγραμμίζεται με προηγούμενα ευρήματα που αποκάλυψε η Google, η οποία ανέφερε ότι η MuddyWater πειραματίζεται με εργαλεία γενετικής τεχνητής νοημοσύνης για την ενίσχυση της ανάπτυξης κακόβουλου λογισμικού, ιδίως για δυνατότητες μεταφοράς αρχείων και απομακρυσμένης εκτέλεσης.
Περαιτέρω ανάλυση δείχνει δομικές και περιβαλλοντικές ομοιότητες μεταξύ του CHAR και του κακόβουλου λογισμικού BlackBeard, βασισμένου στο Rust, γνωστού και ως Archer RAT ή RUSTRIC, που είχε αναπτυχθεί προηγουμένως από την ομάδα εναντίον οντοτήτων της Μέσης Ανατολής. Αυτές οι επικαλύψεις υποδηλώνουν κοινές αγωγούς ανάπτυξης και επαναληπτική βελτίωση των εργαλείων.
Επέκταση Δυνατοτήτων και Στρατηγικής Πρόθεσης
Η MuddyWater παραμένει ένας επίμονος και εξελισσόμενος παράγοντας απειλής στην περιοχή META. Η ενσωμάτωση της ανάπτυξης με τη βοήθεια της Τεχνητής Νοημοσύνης, η συνεχής βελτίωση του εξατομικευμένου κακόβουλου λογισμικού, η εκμετάλλευση των ευπαθειών που απευθύνονται στο κοινό και η διαφοροποίηση της υποδομής C2 καταδεικνύουν συλλογικά μια μακροπρόθεσμη δέσμευση για επιχειρησιακή επέκταση.
Η επιχείρηση Olalampo υπογραμμίζει τη διαρκή εστίαση της ομάδας σε στόχους που βασίζονται στη Μέση Ανατολή και Βόρεια Αφρική (MENA) και τονίζει την αυξανόμενη πολυπλοκότητα των δυνατοτήτων εισβολής της. Οι οργανισμοί που δραστηριοποιούνται στην περιοχή θα πρέπει να διατηρούν αυξημένη επαγρύπνηση, να επιβάλλουν μακροοικονομικούς περιορισμούς, να παρακολουθούν τις εξερχόμενες επικοινωνίες Διοίκησης και Ελέγχου (C2) και να δίνουν προτεραιότητα στην έγκαιρη αποκατάσταση ευπαθειών για τον μετριασμό της έκθεσης σε αυτό το εξελισσόμενο τοπίο απειλών.
