Campagna di attacco dell'operazione Olalampo
Il gruppo terroristico iraniano MuddyWater, noto anche come Earth Vetala, Mango Sandstorm e MUDDYCOAST, ha lanciato una nuova campagna informatica denominata Operazione Olalampo. L'operazione ha preso di mira principalmente organizzazioni e individui nella regione del Medio Oriente e del Nord Africa (MENA).
Rilevata per la prima volta il 26 gennaio 2026, la campagna introduce diverse nuove famiglie di malware, riutilizzando componenti precedentemente associati al gruppo. I ricercatori di sicurezza segnalano che l'attività riflette una continuazione dei modelli operativi consolidati di MuddyWater, rafforzandone la presenza persistente nella regione META (Medio Oriente, Turchia e Africa).
Sommario
Vettori di infezione e catene di attacco
La campagna segue una metodologia di intrusione familiare, coerente con le precedenti operazioni di MuddyWater. L'accesso iniziale avviene in genere tramite e-mail di spear-phishing contenenti allegati dannosi di Microsoft Office. Questi documenti incorporano un codice macro progettato per decodificare ed eseguire payload sul sistema della vittima, concedendo in ultima analisi il controllo remoto agli aggressori.
Sono state osservate diverse varianti di attacco:
- Un documento Microsoft Excel dannoso richiede alle vittime di abilitare le macro, innescando l'implementazione del backdoor CHAR basato su Rust.
- Una variante correlata fornisce il downloader GhostFetch, che successivamente installa l'impianto GhostBackDoor.
- Una terza catena di infezione utilizza esche a tema come biglietti aerei o report operativi, anziché impersonare un'azienda di servizi energetici e marittimi mediorientale, per distribuire il downloader HTTP_VIP. Questa variante installa infine l'applicazione desktop remoto AnyDesk per l'accesso persistente.
Inoltre, il gruppo è stato osservato mentre sfruttava vulnerabilità recentemente scoperte nei server connessi a Internet per ottenere l'accesso iniziale agli ambienti presi di mira.
Malware Arsenal: strumenti personalizzati e impianti modulari
L'operazione Olalampo si basa su un ecosistema malware strutturato e multifase, progettato per la ricognizione, la persistenza e il controllo remoto. Gli strumenti principali identificati in questa campagna includono:
GhostFetch – Un downloader di prima fase che profila i sistemi compromessi convalidando il movimento del mouse e la risoluzione dello schermo, rilevando gli strumenti di debug, identificando artefatti delle macchine virtuali e verificando la presenza di software antivirus. Recupera ed esegue payload secondari direttamente in memoria.
GhostBackDoor – Un impianto di seconda fase fornito da GhostFetch. Consente l'accesso interattivo alla shell, operazioni di lettura/scrittura sui file e può riavviare GhostFetch.
HTTP_VIP – Un downloader nativo che esegue la ricognizione del sistema e si connette al dominio esterno "codefusiontech(dot)org" per l'autenticazione. Distribuisce AnyDesk da un server di comando e controllo (C2). Una versione più recente ne migliora le funzionalità con la raccolta dei dati delle vittime, l'esecuzione interattiva della shell, il trasferimento di file, l'acquisizione degli appunti e intervalli di beaconing configurabili.
CHAR – Una backdoor basata su Rust controllata tramite un bot Telegram identificato come 'Olalampo' (nome utente: stager_51_bot). Supporta la navigazione nelle directory e l'esecuzione di comandi cmd.exe o PowerShell.
La funzionalità di PowerShell associata a CHAR consente l'esecuzione di un proxy inverso SOCKS5 o di una backdoor aggiuntiva denominata Kalim. Facilita inoltre l'esfiltrazione dei dati del browser e avvia gli eseguibili denominati "sh.exe" e "gshdoc_release_X64_GUI.exe".
Sviluppo assistito dall’intelligenza artificiale e sovrapposizione del codice
L'analisi tecnica del codice sorgente di CHAR ha rivelato indicatori di sviluppo assistito dall'intelligenza artificiale. La presenza di emoji nelle stringhe di debug è in linea con i risultati precedenti divulgati da Google, che ha riferito che MuddyWater stava sperimentando strumenti di intelligenza artificiale generativa per migliorare lo sviluppo di malware, in particolare per il trasferimento di file e le funzionalità di esecuzione remota.
Ulteriori analisi mostrano somiglianze strutturali e ambientali tra CHAR e il malware BlackBeard basato su Rust, noto anche come Archer RAT o RUSTRIC, precedentemente implementato dal gruppo contro entità mediorientali. Queste sovrapposizioni suggeriscono pipeline di sviluppo condivise e un perfezionamento iterativo degli strumenti.
Espansione delle capacità e degli intenti strategici
MuddyWater rimane un attore di minacce persistente e in continua evoluzione nella regione META. L'integrazione dello sviluppo assistito dall'intelligenza artificiale, il continuo perfezionamento di malware su misura, lo sfruttamento delle vulnerabilità rivolte al pubblico e la diversificazione dell'infrastruttura C2 dimostrano collettivamente un impegno a lungo termine per l'espansione operativa.
L'operazione Olalampo sottolinea l'attenzione costante del gruppo verso obiettivi in Medio Oriente e Nord Africa e mette in luce la crescente sofisticatezza delle sue capacità di intrusione. Le organizzazioni che operano nella regione dovrebbero mantenere una vigilanza elevata, applicare restrizioni macro, monitorare le comunicazioni di Comando e Controllo (C2) in uscita e dare priorità alla tempestiva correzione delle vulnerabilità per mitigare l'esposizione a questo panorama di minacce in continua evoluzione.
