Нападна кампања Операције Олалампо
Иранска државна група за претње MuddyWater, такође праћена као Earth Vetala, Mango Sandstorm и MUDDYCOAST, покренула је нову сајбер кампању под називом Операција Olalampo. Операција је првенствено усмерена на организације и појединце широм региона Блиског истока и Северне Африке (МЕНА).
Први пут откривена 26. јануара 2026. године, кампања уводи више нових породица злонамерног софтвера, поново користећи компоненте које су раније биле повезане са групом. Истраживачи безбедности извештавају да активност одражава наставак успостављених оперативних образаца групе MuddyWater, појачавајући њено стално присуство широм META региона (Блиски исток, Турска и Африка).
Преглед садржаја
Вектори инфекције и ланци напада
Кампања прати познату методологију упада у систем који је у складу са ранијим MuddyWater операцијама. Почетни приступ обично почиње фишинг имејловима који садрже злонамерне прилоге Microsoft Office-а. Ови документи садрже макро код дизајниран за декодирање и извршавање корисних података на систему жртве, што на крају омогућава даљинску контролу нападачима.
Примећено је неколико варијација напада:
- Злонамерни Microsoft Excel документ подстиче жртве да омогуће макрое, покрећући распоређивање Rust-базираног бекдор CHAR-а.
- Сродна варијанта испоручује програм за преузимање GhostFetch-а, који потом инсталира имплантат GhostBackDoor.
- Трећи ланац инфекције користи тематске мамце као што су авионске карте или оперативни извештаји, уместо да се представља као блискоисточна компанија за енергетске и поморске услуге, за дистрибуцију HTTP_VIP преузимача. Ова варијанта на крају инсталира апликацију за удаљену радну површину AnyDesk за трајни приступ.
Поред тога, примећено је да група искоришћава новооткривене рањивости на серверима окренутим интернету како би добила почетни приступ циљаним окружењима.
Арсенал злонамерног софтвера: Прилагођени алати и модуларни имплантати
Операција Олалампо се ослања на структурирани, вишестепени екосистем злонамерног софтвера дизајниран за извиђање, истрајност и даљинско управљање. Примарни алати идентификовани у овој кампањи укључују:
GhostFetch – Програм за преузимање прве фазе који профилише угрожене системе валидирањем покрета миша и резолуције екрана, откривањем алата за отклањање грешака, идентификовањем артефаката виртуелне машине и провером антивирусног софтвера. Преузима и извршава секундарне корисне податке директно у меморији.
GhostBackDoor – Имплант друге фазе који испоручује GhostFetch. Омогућава интерактивни приступ љусци, операције читања/писања датотека и може поново покренути GhostFetch.
HTTP_VIP – Изворни програм за преузимање који врши извиђање система и повезује се са спољним доменом „codefusiontech(dot)org“ ради аутентификације. Покреће AnyDesk са командно-контролног (C2) сервера. Новија верзија побољшава функционалност прикупљањем података о жртвама, интерактивним извршавањем командне љуске, преносом датотека, снимањем у међуспремник и подесивим интервалима сигнализације.
CHAR – Задња врата базирана на Rust-у, контролисана преко Telegram бота идентификованог као „Olalampo“ (корисничко име: stager_51_bot). Подржава навигацију кроз директоријуме и извршавање cmd.exe или PowerShell команди.
PowerShell функционалност повезана са CHAR-ом омогућава извршавање SOCKS5 обрнутог проксија или додатног задњег врата под називом Kalim. Такође олакшава крађу података из прегледача и покреће извршне датотеке означене са „sh.exe“ и „gshdoc_release_X64_GUI.exe“.
Развој уз помоћ вештачке интелигенције и преклапање кода
Техничка анализа изворног кода CHAR-а открила је индикаторе развоја уз помоћ вештачке интелигенције. Присуство емоџија унутар дебаг низова поклапа се са претходним налазима које је открио Google, који је известио да MuddyWater експериментише са генеративним AI алатима како би побољшао развој злонамерног софтвера, посебно за пренос датотека и могућности даљинског извршавања.
Даља анализа показује структурне и еколошке сличности између CHAR-а и малвера BlackBeard заснованог на Rust-у, познатог и као Archer RAT или RUSTRIC, који је група раније користила против ентитета са Блиског истока. Ова преклапања указују на заједничке развојне процесе и итеративно усавршавање алата.
Проширење могућности и стратешка намера
MuddyWater остаје постојан и еволуирајући претећи актер у META региону. Интеграција развоја уз помоћ вештачке интелигенције, континуирано усавршавање злонамерног софтвера по мери, искоришћавање рањивости које су окренуте ка јавности и диверзификација C2 инфраструктуре заједно показују дугорочну посвећеност оперативној експанзији.
Операција Олалампо наглашава стални фокус групе на циљеве у региону Блиског истока и Северне Африке и истиче све већу софистицираност њених могућности за упад. Организације које послују у региону требало би да одржавају појачану будност, спроводе макро ограничења, прате комуникацију командовања и контроле (C2) и дају приоритет благовременом отклањању рањивости како би ублажиле изложеност овом променљивом пејзажу претњи.
