Napadna kampanja Operacije Olalampo
Iranska državna skupina za prijetnje MuddyWater, također poznata kao Earth Vetala, Mango Sandstorm i MUDDYCOAST, pokrenula je novu kibernetičku kampanju pod nazivom Operacija Olalampo. Operacija je prvenstveno usmjerena na organizacije i pojedince diljem regije Bliskog istoka i Sjeverne Afrike (MENA).
Prvi put otkrivena 26. siječnja 2026., kampanja uvodi više novih porodica zlonamjernog softvera, a istovremeno ponovno koristi komponente koje su prethodno bile povezane s grupom. Sigurnosni istraživači izvještavaju da aktivnost odražava nastavak ustaljenih operativnih obrazaca MuddyWatera, pojačavajući njegovu trajnu prisutnost u META regiji (Bliski istok, Turska i Afrika).
Sadržaj
Vektori infekcije i lanci napada
Kampanja slijedi poznatu metodologiju upada u skladu s ranijim MuddyWater operacijama. Početni pristup obično započinje spear-phishing e-porukama koje sadrže zlonamjerne privitke Microsoft Officea. Ti dokumenti ugrađuju makro kod dizajniran za dekodiranje i izvršavanje korisnih podataka na sustavu žrtve, što u konačnici daje napadačima daljinsku kontrolu.
Uočeno je nekoliko varijacija napada:
- Zlonamjerni Microsoft Excel dokument potiče žrtve da omoguće makroe, pokrećući implementaciju Rustovog backdoor CHAR-a.
- Srodna varijanta nudi GhostFetch downloader, koji potom instalira GhostBackDoor implant.
- Treći lanac zaraze koristi tematske mamce poput avionskih karata ili operativnih izvješća, umjesto da se predstavlja kao bliskoistočna tvrtka za energetske i pomorske usluge, za distribuciju HTTP_VIP programa za preuzimanje. Ova varijanta u konačnici instalira aplikaciju za udaljenu radnu površinu AnyDesk za trajni pristup.
Osim toga, uočeno je da skupina iskorištava novootkrivene ranjivosti u poslužiteljima okrenutim prema internetu kako bi dobila početni pristup ciljanim okruženjima.
Arsenal zlonamjernog softvera: Prilagođeni alati i modularni implantati
Operacija Olalampo oslanja se na strukturirani, višestupanjski ekosustav zlonamjernog softvera dizajniran za izviđanje, istrajnost i daljinsko upravljanje. Primarni alati identificirani u ovoj kampanji uključuju:
GhostFetch – Program za preuzimanje prve faze koji profilira kompromitirane sustave provjerom pokreta miša i razlučivosti zaslona, otkrivanjem alata za otklanjanje pogrešaka, identificiranjem artefakata virtualnih strojeva i provjerom antivirusnog softvera. Dohvaća i izvršava sekundarne podatke izravno u memoriji.
GhostBackDoor – Implantat druge faze koji isporučuje GhostFetch. Omogućuje interaktivni pristup ljusci, operacije čitanja/pisanja datoteka i može ponovno pokrenuti GhostFetch.
HTTP_VIP – Izvorni program za preuzimanje koji provodi izviđanje sustava i povezuje se s vanjskom domenom "codefusiontech(dot)org" radi autentifikacije. Implementira AnyDesk s komandno-kontrolnog (C2) poslužitelja. Novija verzija poboljšava funkcionalnost prikupljanjem podataka o žrtvama, interaktivnim izvršavanjem ljuske, prijenosom datoteka, snimanjem u međuspremnik i konfiguriranjem intervala beaconinga.
CHAR – Stražnja vrata temeljena na Rustu kontrolirana putem Telegram bota identificiranog kao 'Olalampo' (korisničko ime: stager_51_bot). Podržava navigaciju direktorijima i izvršavanje cmd.exe ili PowerShell naredbi.
PowerShell funkcionalnost povezana s CHAR-om omogućuje izvršavanje SOCKS5 obrnutog proxyja ili dodatnog backdoora pod nazivom Kalim. Također olakšava izvlačenje podataka iz preglednika i pokreće izvršne datoteke označene s 'sh.exe' i 'gshdoc_release_X64_GUI.exe'.
Razvoj uz pomoć umjetne inteligencije i preklapanje koda
Tehnička analiza izvornog koda CHAR-a otkrila je pokazatelje razvoja uz pomoć umjetne inteligencije. Prisutnost emojija unutar nizova za otklanjanje pogrešaka podudara se s prethodnim nalazima koje je otkrio Google, koji je izvijestio da MuddyWater eksperimentira s generativnim alatima umjetne inteligencije kako bi poboljšao razvoj zlonamjernog softvera, posebno za prijenos datoteka i mogućnosti daljinskog izvršavanja.
Daljnja analiza pokazuje strukturne i okolišne sličnosti između CHAR-a i zlonamjernog softvera BlackBeard temeljenog na Rustu, poznatog i kao Archer RAT ili RUSTRIC, koji je grupa prethodno koristila protiv subjekata na Bliskom istoku. Ova preklapanja sugeriraju zajedničke razvojne procese i iterativno usavršavanje alata.
Proširenje sposobnosti i strateške namjere
MuddyWater ostaje uporan i promjenjiv akter prijetnji unutar META regije. Integracija razvoja potpomognutog umjetnom inteligencijom, kontinuirano usavršavanje zlonamjernog softvera po mjeri, iskorištavanje ranjivosti usmjerenih prema javnosti i diverzifikacija C2 infrastrukture zajedno pokazuju dugoročnu predanost operativnom širenju.
Operacija Olalampo naglašava trajnu usmjerenost skupine na ciljeve u regiji Bliskog istoka i Sjeverne Afrike te ističe sve veću sofisticiranost njezinih sposobnosti upada. Organizacije koje djeluju u regiji trebale bi održavati pojačanu budnost, provoditi makro ograničenja, pratiti odlazne komunikacije zapovijedanja i kontrole (C2) i dati prioritet pravovremenom otklanjanju ranjivosti kako bi ublažile izloženost ovom promjenjivom krajoliku prijetnji.
