Rabattoffert för flera licenser
Hotdatabas Advanced Persistent Threat (APT) Operation Olalampo attackkampanj

Operation Olalampo attackkampanj

Med Mezo år Advanced Persistent Threat (APT), Skadlig programvara
Översätt till:

Den iranska statsallierade hotgruppen MuddyWater, även känd som Earth Vetala, Mango Sandstorm och MUDDYCOAST, har lanserat en ny cyberkampanj kallad Operation Olalampo. Operationen har främst riktat sig mot organisationer och individer i Mellanöstern och Nordafrika (MENA).

Kampanjen upptäcktes först den 26 januari 2026 och introducerar flera nya familjer av skadlig kod samtidigt som den återanvänder komponenter som tidigare associerats med gruppen. Säkerhetsforskare rapporterar att aktiviteten återspeglar en fortsättning på MuddyWaters etablerade operativa mönster, vilket förstärker dess ihållande närvaro i hela META-regionen (Mellanöstern, Turkiet och Afrika).

Infektionsvektorer och attackkedjor

Kampanjen följer en välbekant intrångsmetodik som överensstämmer med tidigare MuddyWater-operationer. Initial åtkomst börjar vanligtvis med spear-phishing-mejl som innehåller skadliga Microsoft Office-bilagor. Dessa dokument bäddar in makrokod som är utformad för att avkoda och köra nyttolaster på offrets system, vilket i slutändan ger angriparna fjärrkontroll.

Flera attackvariationer har observerats:

  • Ett skadligt Microsoft Excel-dokument uppmanar offren att aktivera makron, vilket utlöser distributionen av den Rust-baserade bakdörrs-CHAR.
  • En relaterad variant levererar GhostFetch-nedladdaren, som sedan installerar GhostBackDoor-implantatet.
  • En tredje infektionskedja använder tematiska lockbete som flygbiljetter eller operativa rapporter, snarare än att utge sig för att vara ett energi- och marinföretag i Mellanöstern, för att distribuera HTTP_VIP-nedladdaren. Denna variant installerar slutligen fjärrskrivbordsapplikationen AnyDesk för permanent åtkomst.

Dessutom har gruppen observerats utnyttja nyligen avslöjade sårbarheter i internetvända servrar för att få initial åtkomst till riktade miljöer.

Skadlig kods arsenal: Anpassade verktyg och modulära implantat

Operation Olalampo bygger på ett strukturerat, flerstegs ekosystem för skadlig kod utformat för rekognoscering, persistens och fjärrkontroll. De primära verktygen som identifierats i denna kampanj inkluderar:

GhostFetch – En nedladdningsfunktion i första steget som profilerar komprometterade system genom att validera musrörelser och skärmupplösning, upptäcka felsökningsverktyg, identifiera artefakter i virtuella maskiner och kontrollera om det finns antivirusprogram. Den hämtar och kör sekundära nyttolaster direkt i minnet.

GhostBackDoor – Ett andrastegsimplantat levererat av GhostFetch. Det möjliggör interaktiv skalåtkomst, filläsning/skrivning och kan återinitiera GhostFetch.

HTTP_VIP – En inbyggd nedladdningsfunktion som utför systemrekognoscering och ansluter till den externa domänen "codefusiontech(dot)org" för autentisering. Den distribuerar AnyDesk från en kommando-och-kontrollserver (C2). En nyare version förbättrar funktionaliteten med insamling av offerdata, interaktiv skalkörning, filöverföringar, urklippsinspelning och konfigurerbara beaconingintervall.

CHAR – En Rust-baserad bakdörr som styrs via en Telegram-bot identifierad som 'Olalampo' (användarnamn: stager_51_bot). Den stöder katalognavigering och exekvering av cmd.exe- eller PowerShell-kommandon.

PowerShell-funktionen som är associerad med CHAR möjliggör exekvering av en SOCKS5-omvänd proxy eller en ytterligare bakdörr med namnet Kalim. Den underlättar även exfiltrering av webbläsardata och startar körbara filer märkta 'sh.exe' och 'gshdoc_release_X64_GUI.exe'.

AI-assisterad utveckling och kodöverlappning

Teknisk analys av CHARs källkod avslöjade indikatorer på utveckling med hjälp av artificiell intelligens. Förekomsten av emojis i felsökningssträngar överensstämmer med tidigare resultat som Google avslöjat, som rapporterade att MuddyWater har experimenterat med generativa AI-verktyg för att förbättra utveckling av skadlig kod, särskilt för filöverföring och fjärrkörningsfunktioner.

Vidare analys visar strukturella och miljömässiga likheter mellan CHAR och den Rust-baserade skadliga programvaran BlackBeard, även känd som Archer RAT eller RUSTRIC, som tidigare användes av gruppen mot enheter i Mellanöstern. Dessa överlappningar tyder på delade utvecklingspipelines och iterativ förfining av verktyg.

Utöka kapacitet och strategisk avsikt

MuddyWater är fortfarande en ihållande och föränderlig hotaktör inom META-regionen. Integreringen av AI-assisterad utveckling, fortsatt förfining av skräddarsydd skadlig programvara, utnyttjande av sårbarheter riktade mot allmänheten och diversifieringen av C2-infrastrukturen visar tillsammans ett långsiktigt engagemang för operativ expansion.

Operation Olalampo understryker gruppens fortsatta fokus på MENA-baserade mål och belyser den ökande sofistikeringen av dess intrångskapacitet. Organisationer som är verksamma i regionen bör upprätthålla ökad vaksamhet, upprätthålla makroekonomiska restriktioner, övervaka utgående kommando- och kontrollkommunikation (C2) och prioritera snabb åtgärd av sårbarheter för att minska exponeringen mot detta föränderliga hotlandskap.

Trendigt

E-postbedrägeri gällande ersättning från Federal...

Nätfiske, Spam
Att vara vaksam när man hanterar oväntade e-postmeddelanden är viktigt i dagens hotbild. Cyberbrottslingar utger sig ofta för att vara välrenommerade institutioner för att vinna förtroende och manipulera mottagare till att avslöja känslig information eller skicka pengar. Det så kallade Federal Equity Trust Bank Compensation-mejlet är ett sådant exempel. Dessa meddelanden är inte kopplade till...

Mest sedda

Läser in...