Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Geavanceerde aanhoudende dreiging (APT) Operatie Olalampo Aanvalscampagne

Operatie Olalampo Aanvalscampagne

Tegen Mezo in Geavanceerde aanhoudende dreiging (APT), Malware
Vertalen naar:

De Iraanse, aan de staat gelieerde terreurgroep MuddyWater, ook bekend onder de namen Earth Vetala, Mango Sandstorm en MUDDYCOAST, heeft een nieuwe cybercampagne gelanceerd onder de naam Operatie Olalampo. De operatie is voornamelijk gericht op organisaties en individuen in de regio Midden-Oosten en Noord-Afrika (MENA).

De campagne, die voor het eerst werd gedetecteerd op 26 januari 2026, introduceert meerdere nieuwe malwarefamilies en hergebruikt componenten die eerder met de groep in verband werden gebracht. Beveiligingsonderzoekers melden dat de activiteit een voortzetting is van de reeds vastgestelde operationele patronen van MuddyWater, waarmee de aanhoudende aanwezigheid van de groep in de META-regio (Midden-Oosten, Turkije en Afrika) wordt versterkt.

Infectievectoren en aanvalsketens

De campagne volgt een bekende inbraakmethode die consistent is met eerdere MuddyWater-operaties. De eerste toegang begint doorgaans met spear-phishing-e-mails met kwaadaardige Microsoft Office-bijlagen. Deze documenten bevatten macrocode die is ontworpen om payloads te decoderen en uit te voeren op het systeem van het slachtoffer, waardoor de aanvallers uiteindelijk op afstand de controle over het systeem krijgen.

Er zijn verschillende aanvalsvarianten waargenomen:

  • Een kwaadaardig Microsoft Excel-document spoort slachtoffers aan om macro's in te schakelen, waardoor de op Rust gebaseerde backdoor CHAR wordt geactiveerd.
  • Een verwante variant levert de GhostFetch-downloader, die vervolgens de GhostBackDoor-implant installeert.
  • Een derde infectieketen gebruikt thematische lokmiddelen zoals vliegtickets of operationele rapporten, in plaats van zich voor te doen als een energie- en maritiem dienstverleningsbedrijf uit het Midden-Oosten, om de HTTP_VIP-downloader te verspreiden. Deze variant installeert uiteindelijk de AnyDesk-applicatie voor toegang op afstand, waardoor permanente toegang mogelijk is.

Daarnaast is gebleken dat de groep recent ontdekte kwetsbaarheden in internetservers misbruikt om initiële toegang te verkrijgen tot de beoogde omgevingen.

Malware-arsenaal: op maat gemaakte tools en modulaire implantaten

Operatie Olalampo maakt gebruik van een gestructureerd, meerfasig malware-ecosysteem dat is ontworpen voor verkenning, persistentie en beheer op afstand. De belangrijkste tools die in deze campagne zijn geïdentificeerd, zijn onder andere:

GhostFetch – Een downloader voor de eerste fase die gecompromitteerde systemen profileert door muisbewegingen en schermresolutie te valideren, debugtools te detecteren, virtuele machine-artefacten te identificeren en te controleren op antivirussoftware. Het haalt secundaire payloads op en voert deze direct in het geheugen uit.

GhostBackDoor – Een implantaat in de tweede fase, geïnstalleerd door GhostFetch. Het maakt interactieve shelltoegang, lees- en schrijfbewerkingen van bestanden mogelijk en kan GhostFetch opnieuw opstarten.

HTTP_VIP – Een native downloader die systeemverkenning uitvoert en verbinding maakt met het externe domein "codefusiontech(dot)org" voor authenticatie. Het implementeert AnyDesk vanaf een command-and-control (C2) server. Een nieuwere versie breidt de functionaliteit uit met het verzamelen van slachtoffergegevens, interactieve shell-uitvoering, bestandsoverdracht, klembordcaptatie en configureerbare beaconing-intervallen.

CHAR – Een op Rust gebaseerde backdoor die wordt bestuurd via een Telegram-bot met de naam 'Olalampo' (gebruikersnaam: stager_51_bot). Deze backdoor ondersteunt het navigeren door mappen en het uitvoeren van cmd.exe- of PowerShell-opdrachten.

De PowerShell-functionaliteit die aan CHAR is gekoppeld, maakt de uitvoering mogelijk van een SOCKS5-reverseproxy of een extra backdoor genaamd Kalim. Het faciliteert ook het exfiltreren van browsergegevens en start uitvoerbare bestanden met de namen 'sh.exe' en 'gshdoc_release_X64_GUI.exe'.

AI-ondersteunde ontwikkeling en code-overlap

Technische analyse van de broncode van CHAR bracht aanwijzingen aan het licht voor ontwikkeling met behulp van kunstmatige intelligentie. De aanwezigheid van emoji's in debugberichten komt overeen met eerdere bevindingen van Google, dat meldde dat MuddyWater experimenteerde met generatieve AI-tools om de ontwikkeling van malware te verbeteren, met name voor bestandsoverdracht en mogelijkheden voor uitvoering op afstand.

Nader onderzoek toont structurele en omgevingsgerelateerde overeenkomsten aan tussen CHAR en de op Rust gebaseerde malware BlackBeard, ook bekend als Archer RAT of RUSTRIC, die de groep eerder heeft ingezet tegen entiteiten in het Midden-Oosten. Deze overeenkomsten suggereren gedeelde ontwikkelingsprocessen en iteratieve verfijning van de tools.

Uitbreiding van mogelijkheden en strategische intentie

MuddyWater blijft een hardnekkige en zich ontwikkelende bedreiging binnen de META-regio. De integratie van AI-ondersteunde ontwikkeling, de voortdurende verfijning van op maat gemaakte malware, de exploitatie van publiekelijk toegankelijke kwetsbaarheden en de diversificatie van de C2-infrastructuur tonen gezamenlijk een langetermijnvisie op operationele expansie.

Operatie Olalampo onderstreept de aanhoudende focus van de groep op doelen in het Midden-Oosten en Noord-Afrika en laat de toenemende verfijning van haar inbraakmogelijkheden zien. Organisaties die in de regio actief zijn, moeten extra alert blijven, macrobeperkingen handhaven, uitgaande Command-and-Control (C2)-communicatie monitoren en prioriteit geven aan het tijdig verhelpen van kwetsbaarheden om de blootstelling aan dit veranderende dreigingslandschap te beperken.

Trending

Meest bekeken

Bezig met laden...