올라람포 작전 공격 캠페인

이란 정부와 연계된 사이버 위협 그룹인 머디워터(MuddyWater, Earth Vetala, Mango Sandstorm, MUDDYCOAST 등으로도 알려짐)가 '올라람포 작전(Operation Olalampo)'이라는 새로운 사이버 공격을 시작했습니다. 이 작전은 주로 중동 및 북아프리카(MENA) 지역의 조직과 개인을 표적으로 삼고 있습니다.

2026년 1월 26일에 처음 탐지된 이 캠페인은 기존에 해당 그룹과 연관된 구성 요소를 재사용하는 동시에 여러 새로운 멀웨어 패밀리를 도입했습니다. 보안 연구원들은 이러한 활동이 MuddyWater의 기존 운영 패턴을 이어가는 것이며, 중동, 터키, 아프리카를 아우르는 META 지역 전반에 걸쳐 지속적인 영향력을 행사하고 있음을 보여준다고 보고했습니다.

감염 매개체 및 공격 사슬

이번 공격은 이전 머디워터(MuddyWater) 공격과 일관된 익숙한 침입 수법을 따릅니다. 초기 접근은 일반적으로 악성 마이크로소프트 오피스 첨부 파일이 포함된 스피어 피싱 이메일로 시작됩니다. 이러한 첨부 파일에는 피해자의 시스템에서 악성 페이로드를 해독하고 실행하도록 설계된 매크로 코드가 포함되어 있어, 궁극적으로 공격자에게 원격 제어 권한을 부여합니다.

다양한 공격 유형이 관찰되었습니다.

• 악성 마이크로소프트 엑셀 문서가 피해자에게 매크로를 활성화하도록 유도하여, 러스트 기반 백도어인 CHAR를 배포합니다.
• 이와 관련된 변종은 GhostFetch 다운로더를 배포하며, 이 다운로더는 이후 GhostBackDoor 임플란트를 설치합니다.
• 세 번째 감염 경로는 중동의 에너지 및 해양 서비스 회사를 사칭하는 대신 항공권이나 운영 보고서와 같은 테마를 이용한 미끼를 사용하여 HTTP_VIP 다운로더를 배포합니다. 이 변종은 최종적으로 AnyDesk 원격 데스크톱 애플리케이션을 설치하여 지속적인 접근을 가능하게 합니다.

또한, 해당 그룹은 인터넷에 연결된 서버에서 새롭게 드러난 취약점을 악용하여 목표 환경에 대한 초기 접근 권한을 획득하는 것으로 관찰되었습니다.

악성코드 무기고: 맞춤형 도구 및 모듈형 임플란트

올랄람포 작전은 정찰, 지속성 확보 및 원격 제어를 위해 설계된 구조화된 다단계 악성코드 생태계를 이용합니다. 이 캠페인에서 확인된 주요 도구는 다음과 같습니다.

GhostFetch 는 감염된 시스템의 마우스 움직임과 화면 해상도를 검증하고, 디버깅 도구를 탐지하고, 가상 머신 흔적을 식별하고, 안티바이러스 소프트웨어를 확인하는 등의 작업을 통해 시스템의 프로파일링을 수행하는 1단계 다운로더입니다. 이후 2차 페이로드를 시스템 메모리에서 직접 다운로드하고 실행합니다.

GhostBackDoor 는 GhostFetch를 통해 전달되는 2단계 악성코드입니다. 이를 통해 대화형 셸 접근, 파일 읽기/쓰기 작업이 가능하며 GhostFetch를 다시 시작할 수 있습니다.

HTTP_VIP 는 시스템 정찰을 수행하고 인증을 위해 외부 도메인 "codefusiontech(dot)org"에 연결하는 네이티브 다운로더입니다. 명령 및 제어(C2) 서버에서 AnyDesk를 배포합니다. 최신 버전은 피해자 데이터 수집, 대화형 셸 실행, 파일 전송, 클립보드 캡처 및 구성 가능한 비콘 전송 간격 등의 기능을 향상시켰습니다.

CHAR – 'Olalampo'(사용자 이름: stager_51_bot)라는 텔레그램 봇을 통해 제어되는 Rust 기반 백도어입니다. 디렉터리 탐색 및 cmd.exe 또는 PowerShell 명령 실행을 지원합니다.

CHAR와 관련된 PowerShell 기능은 SOCKS5 역방향 프록시 또는 Kalim이라는 추가 백도어의 실행을 가능하게 합니다. 또한 브라우저 데이터 유출을 용이하게 하고 'sh.exe' 및 'gshdoc_release_X64_GUI.exe'라는 실행 파일을 실행합니다.

AI 지원 개발 및 코드 중복

CHAR의 소스 코드에 대한 기술 분석 결과 인공지능을 활용한 개발 흔적이 발견되었습니다. 디버그 문자열에 이모티콘이 포함된 것은 구글이 이전에 발표한 내용과 일치하는데, 구글은 머디워터(MuddyWater)가 악성코드 개발, 특히 파일 전송 및 원격 실행 기능 강화를 위해 생성형 AI 도구를 실험해 왔다고 보고한 바 있습니다.

추가 분석 결과, CHAR는 Rust 기반 악성코드인 BlackBeard(Archer RAT 또는 RUSTRIC으로도 알려짐)와 구조적 및 환경적 유사성을 보이며, BlackBeard는 이전에 해당 그룹이 중동 지역 기관들을 대상으로 배포한 바 있다. 이러한 유사점은 개발 파이프라인을 공유하고 도구를 반복적으로 개선했음을 시사한다.

역량 확장 및 전략적 의도

MuddyWater는 META 지역 내에서 지속적으로 진화하는 위협 행위자입니다. AI 기반 개발, 맞춤형 악성코드의 지속적인 정교화, 공개된 취약점 악용, 그리고 C2 인프라의 다변화는 모두 운영 확장에 대한 장기적인 의지를 보여줍니다.

올라람포 작전은 해당 그룹이 중동 및 북아프리카(MENA) 지역을 표적으로 삼아 지속적으로 공격하고 있으며, 침입 능력이 점점 더 정교해지고 있음을 보여줍니다. 이 지역에서 활동하는 조직들은 경계를 강화하고, 매크로 제한을 시행하며, 외부로 나가는 지휘통제(C2) 통신을 모니터링하고, 취약점 해결을 시의적절하게 추진하여 진화하는 위협 환경에 대한 노출을 최소화해야 합니다.