ऑपरेशन ओलालाम्पो आक्रमण अभियान

ईरान समर्थित आतंकी समूह मडीवॉटर, जिसे अर्थ वेटला, मैंगो सैंडस्टॉर्म और मडीकोस्ट के नाम से भी जाना जाता है, ने ऑपरेशन ओलालाम्पो नामक एक नया साइबर अभियान शुरू किया है। इस अभियान का मुख्य लक्ष्य मध्य पूर्व और उत्तरी अफ्रीका (एमईएनए) क्षेत्र में स्थित संगठन और व्यक्ति हैं।

26 जनवरी, 2026 को पहली बार पता चले इस अभियान में कई नए मैलवेयर परिवार शामिल हैं, साथ ही इसमें पहले से मौजूद घटकों का पुन: उपयोग किया गया है। सुरक्षा शोधकर्ताओं का कहना है कि यह गतिविधि मड्डीवॉटर के स्थापित परिचालन पैटर्न की निरंतरता को दर्शाती है, जिससे मध्य पूर्व, तुर्की और अफ्रीका (META क्षेत्र) में इसकी निरंतर उपस्थिति और मजबूत होती है।

संक्रमण वाहक और आक्रमण श्रृंखलाएँ

यह अभियान पहले के मडीवॉटर ऑपरेशनों के समान ही घुसपैठ की एक जानी-पहचानी पद्धति का अनुसरण करता है। प्रारंभिक पहुँच आमतौर पर दुर्भावनापूर्ण माइक्रोसॉफ्ट ऑफिस अटैचमेंट वाले स्पीयर-फ़िशिंग ईमेल के माध्यम से शुरू होती है। इन दस्तावेज़ों में मैक्रो कोड एम्बेडेड होता है जो पीड़ित के सिस्टम पर पेलोड को डिकोड और निष्पादित करने के लिए डिज़ाइन किया गया है, जिससे अंततः हमलावरों को दूरस्थ नियंत्रण प्राप्त हो जाता है।

हमले के कई प्रकार देखे गए हैं:

• एक दुर्भावनापूर्ण माइक्रोसॉफ्ट एक्सेल दस्तावेज़ पीड़ितों को मैक्रो को सक्षम करने के लिए प्रेरित करता है, जिससे रस्ट-आधारित बैकडोर CHAR की तैनाती शुरू हो जाती है।
• इससे संबंधित एक अन्य संस्करण घोस्टफेच डाउनलोडर प्रदान करता है, जो बाद में घोस्टबैकडोर इम्प्लांट को स्थापित करता है।
• संक्रमण की तीसरी श्रृंखला HTTP_VIP डाउनलोडर को वितरित करने के लिए मध्य पूर्वी ऊर्जा और समुद्री सेवा कंपनी का रूप धारण करने के बजाय, उड़ान टिकट या परिचालन रिपोर्ट जैसे थीम आधारित प्रलोभनों का उपयोग करती है। यह प्रकार अंततः स्थायी पहुँच के लिए AnyDesk रिमोट डेस्कटॉप एप्लिकेशन स्थापित करता है।

इसके अतिरिक्त, यह भी देखा गया है कि यह समूह लक्षित वातावरणों तक प्रारंभिक पहुंच प्राप्त करने के लिए इंटरनेट से जुड़े सर्वरों में हाल ही में सामने आई कमजोरियों का फायदा उठा रहा है।

मैलवेयर शस्त्रागार: अनुकूलित उपकरण और मॉड्यूलर प्रत्यारोपण

ऑपरेशन ओलालम्पो एक संरचित, बहु-स्तरीय मैलवेयर इकोसिस्टम पर निर्भर करता है जिसे जासूसी, निरंतरता और दूरस्थ नियंत्रण के लिए डिज़ाइन किया गया है। इस अभियान में पहचाने गए प्राथमिक उपकरण निम्नलिखित हैं:

GhostFetch – एक प्राथमिक चरण का डाउनलोडर है जो माउस की गतिविधि और स्क्रीन रिज़ॉल्यूशन को सत्यापित करके, डिबगिंग टूल का पता लगाकर, वर्चुअल मशीन की त्रुटियों की पहचान करके और एंटीवायरस सॉफ़्टवेयर की जाँच करके असुरक्षित सिस्टमों की प्रोफाइल तैयार करता है। यह सेकेंडरी पेलोड को सीधे मेमोरी से प्राप्त करता है और निष्पादित करता है।

GhostBackDoor – GhostFetch द्वारा दिया जाने वाला एक द्वितीय-चरण का इम्प्लांट है। यह इंटरैक्टिव शेल एक्सेस, फ़ाइल रीड/राइट ऑपरेशन को सक्षम बनाता है और GhostFetch को पुनः आरंभ कर सकता है।

HTTP_VIP – एक नेटिव डाउनलोडर है जो सिस्टम की जासूसी करता है और प्रमाणीकरण के लिए बाहरी डोमेन "codefusiontech(dot)org" से जुड़ता है। यह कमांड-एंड-कंट्रोल (C2) सर्वर से AnyDesk को डिप्लॉय करता है। इसके नए संस्करण में पीड़ित डेटा संग्रह, इंटरैक्टिव शेल निष्पादन, फ़ाइल स्थानांतरण, क्लिपबोर्ड कैप्चर और कॉन्फ़िगर करने योग्य बीकनिंग अंतराल जैसी उन्नत कार्यक्षमताएँ शामिल हैं।

CHAR – एक रस्ट-आधारित बैकडोर है जिसे 'Olalampo' (यूजरनेम: stager_51_bot) नामक टेलीग्राम बॉट द्वारा नियंत्रित किया जाता है। यह डायरेक्टरी नेविगेशन और cmd.exe या PowerShell कमांड के निष्पादन का समर्थन करता है।

CHAR से जुड़ी पॉवरशेल कार्यक्षमता SOCKS5 रिवर्स प्रॉक्सी या कलीम नामक एक अतिरिक्त बैकडोर को निष्पादित करने में सक्षम बनाती है। यह ब्राउज़र डेटा की चोरी को भी सुगम बनाती है और 'sh.exe' और 'gshdoc_release_X64_GUI.exe' लेबल वाली निष्पादन योग्य फ़ाइलों को लॉन्च करती है।

एआई-सहायता प्राप्त विकास और कोड ओवरलैप

CHAR के सोर्स कोड के तकनीकी विश्लेषण से कृत्रिम बुद्धिमत्ता की सहायता से विकास के संकेत मिले। डीबग स्ट्रिंग्स में इमोजी की उपस्थिति Google द्वारा पहले जारी किए गए निष्कर्षों से मेल खाती है, जिसमें बताया गया था कि MuddyWater मैलवेयर विकास को बेहतर बनाने के लिए जनरेटिव AI टूल्स के साथ प्रयोग कर रहा है, विशेष रूप से फ़ाइल स्थानांतरण और रिमोट निष्पादन क्षमताओं के लिए।

आगे के विश्लेषण से CHAR और रस्ट-आधारित मैलवेयर BlackBeard (जिसे Archer RAT या RUSTRIC के नाम से भी जाना जाता है) के बीच संरचनात्मक और पर्यावरणीय समानताएं सामने आती हैं, जिसे समूह ने पहले मध्य पूर्वी संस्थाओं के खिलाफ तैनात किया था। ये समानताएं साझा विकास प्रक्रियाओं और टूलिंग के क्रमिक परिष्करण का संकेत देती हैं।

क्षमताओं और रणनीतिक इरादों का विस्तार

MuddyWater META क्षेत्र में एक निरंतर और विकसित होता हुआ खतरा बना हुआ है। AI-सहायता प्राप्त विकास का एकीकरण, विशिष्ट मैलवेयर का निरंतर परिष्करण, सार्वजनिक रूप से उपलब्ध कमजोरियों का फायदा उठाना और C2 बुनियादी ढांचे का विविधीकरण सामूहिक रूप से परिचालन विस्तार के प्रति दीर्घकालिक प्रतिबद्धता को प्रदर्शित करते हैं।

ऑपरेशन ओलालाम्पो, MENA क्षेत्र में स्थित लक्ष्यों पर समूह के निरंतर ध्यान केंद्रित करने को रेखांकित करता है और इसकी घुसपैठ क्षमताओं की बढ़ती हुई परिष्कृतता को उजागर करता है। इस क्षेत्र में कार्यरत संगठनों को कड़ी सतर्कता बरतनी चाहिए, व्यापक प्रतिबंध लागू करने चाहिए, बाहरी कमांड-एंड-कंट्रोल (C2) संचार की निगरानी करनी चाहिए और इस विकसित होते खतरे के परिदृश्य से होने वाले जोखिम को कम करने के लिए समय पर सुरक्षा खामियों को दूर करने को प्राथमिकता देनी चाहिए।