Campania de atac Operațiunea Olampa
Grupul cibernetic MuddyWater, aliniat cu statul iranian, cunoscut și sub numele de Earth Vetala, Mango Sandstorm și MUDDYCOAST, a lansat o nouă campanie cibernetică numită Operațiunea Olalampo. Operațiunea a vizat în principal organizații și persoane din regiunea Orientului Mijlociu și Africa de Nord (MENA).
Detectată pentru prima dată pe 26 ianuarie 2026, campania introduce mai multe familii noi de programe malware, reutilizând componente asociate anterior cu grupul. Cercetătorii în domeniul securității raportează că activitatea reflectă o continuare a tiparelor operaționale stabilite de MuddyWater, consolidând prezența sa persistentă în regiunea META (Orientul Mijlociu, Turcia și Africa).
Cuprins
Vectori de infecție și lanțuri de atac
Campania urmează o metodologie de intruziune familiară, consistentă cu operațiunile MuddyWater anterioare. Accesul inițial începe de obicei cu e-mailuri de tip spear-phishing care conțin atașamente Microsoft Office rău intenționate. Aceste documente încorporează cod macro conceput pentru a decoda și executa sarcini utile pe sistemul victimei, acordând în cele din urmă control de la distanță atacatorilor.
Au fost observate mai multe variante de atac:
- Un document Microsoft Excel rău intenționat solicită victimelor să activeze macrocomenzile, declanșând implementarea backdoor-ului CHAR bazat pe Rust.
- O variantă similară oferă programul de descărcare GhostFetch, care instalează ulterior implantul GhostBackDoor.
- Un al treilea lanț de infectare folosește momeli tematice, cum ar fi bilete de avion sau rapoarte operaționale, în loc să se dea drept o companie de servicii energetice și maritime din Orientul Mijlociu, pentru a distribui programul de descărcare HTTP_VIP. Această variantă instalează în cele din urmă aplicația desktop la distanță AnyDesk pentru acces persistent.
În plus, s-a observat că grupul exploatează vulnerabilități recent dezvăluite în serverele conectate la internet pentru a obține acces inițial la mediile vizate.
Arsenalul de programe malware: Instrumente personalizate și implanturi modulare
Operațiunea Olampa se bazează pe un ecosistem malware structurat, în mai multe etape, conceput pentru recunoaștere, persistență și control de la distanță. Principalele instrumente identificate în această campanie includ:
GhostFetch – Un program de descărcare de primă etapă care profilează sistemele compromise prin validarea mișcării mouse-ului și a rezoluției ecranului, detectarea instrumentelor de depanare, identificarea artefactelor mașinilor virtuale și verificarea software-ului antivirus. Acesta preia și execută sarcini secundare direct în memorie.
GhostBackDoor – Un implant de a doua fază livrat de GhostFetch. Acesta permite accesul interactiv la shell, operațiuni de citire/scriere a fișierelor și poate reiniția GhostFetch.
HTTP_VIP – Un program nativ de descărcare care efectuează recunoașterea sistemului și se conectează la domeniul extern „codefusiontech(dot)org” pentru autentificare. Acesta implementează AnyDesk de pe un server de comandă și control (C2). O versiune mai nouă îmbunătățește funcționalitatea prin colectarea datelor despre victime, executarea interactivă a shell-ului, transferuri de fișiere, captura de clipboard și intervale configurabile de beaconing.
CHAR – Un backdoor bazat pe Rust controlat printr-un bot Telegram identificat ca „Olalampo” (nume de utilizator: stager_51_bot). Acesta oferă suport pentru navigarea în directoare și executarea comenzilor cmd.exe sau PowerShell.
Funcționalitatea PowerShell asociată cu CHAR permite executarea unui proxy invers SOCKS5 sau a unui backdoor suplimentar numit Kalim. De asemenea, facilitează exfiltrarea datelor din browser și lansează fișiere executabile etichetate „sh.exe” și „gshdoc_release_X64_GUI.exe”.
Dezvoltare asistată de inteligență artificială și suprapunere de cod
Analiza tehnică a codului sursă al CHAR a relevat indicatori ai dezvoltării asistate de inteligență artificială. Prezența emoji-urilor în șirurile de depanare se aliniază cu descoperirile anterioare dezvăluite de Google, care a raportat că MuddyWater a experimentat cu instrumente de inteligență artificială generativă pentru a îmbunătăți dezvoltarea de programe malware, în special pentru transferul de fișiere și capacitățile de execuție la distanță.
Analize ulterioare arată similarități structurale și de mediu între CHAR și malware-ul BlackBeard, bazat pe Rust, cunoscut și sub numele de Archer RAT sau RUSTRIC, implementat anterior de grup împotriva entităților din Orientul Mijlociu. Aceste suprapuneri sugerează existența unor conducte de dezvoltare comune și a unei rafinări iterative a instrumentelor.
Extinderea capacităților și a intenției strategice
MuddyWater rămâne un actor de amenințare persistent și în continuă evoluție în regiunea META. Integrarea dezvoltării asistate de inteligență artificială, rafinarea continuă a programelor malware personalizate, exploatarea vulnerabilităților orientate spre public și diversificarea infrastructurii C2 demonstrează, împreună, un angajament pe termen lung față de extinderea operațională.
Operațiunea Olalampo subliniază concentrarea susținută a grupului asupra țintelor din regiunea MENA și evidențiază sofisticarea tot mai mare a capacităților sale de intruziune. Organizațiile care operează în regiune ar trebui să mențină o vigilență sporită, să aplice restricții macro, să monitorizeze comunicațiile de comandă și control (C2) de ieșire și să acorde prioritate remedierii la timp a vulnerabilităților pentru a atenua expunerea la acest peisaj de amenințări în continuă evoluție.
