ਓਪਰੇਸ਼ਨ ਓਲਾਲੈਂਪੋ ਹਮਲਾ ਮੁਹਿੰਮ

ਈਰਾਨੀ ਰਾਜ-ਅਧਾਰਤ ਧਮਕੀ ਸਮੂਹ MuddyWater, ਜਿਸਨੂੰ ਅਰਥ ਵੇਟਾਲਾ, ਮੈਂਗੋ ਸੈਂਡਸਟੋਰਮ, ਅਤੇ MUDDYCOAST ਵਜੋਂ ਵੀ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਨੇ ਇੱਕ ਨਵੀਂ ਸਾਈਬਰ ਮੁਹਿੰਮ ਸ਼ੁਰੂ ਕੀਤੀ ਹੈ ਜਿਸਨੂੰ "Operation Olalampo" ਕਿਹਾ ਜਾਂਦਾ ਹੈ। ਇਸ ਕਾਰਵਾਈ ਨੇ ਮੁੱਖ ਤੌਰ 'ਤੇ ਮੱਧ ਪੂਰਬ ਅਤੇ ਉੱਤਰੀ ਅਫਰੀਕਾ (MENA) ਖੇਤਰ ਦੇ ਸੰਗਠਨਾਂ ਅਤੇ ਵਿਅਕਤੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਹੈ।

ਪਹਿਲੀ ਵਾਰ 26 ਜਨਵਰੀ, 2026 ਨੂੰ ਖੋਜਿਆ ਗਿਆ, ਇਹ ਮੁਹਿੰਮ ਸਮੂਹ ਨਾਲ ਪਹਿਲਾਂ ਜੁੜੇ ਹਿੱਸਿਆਂ ਦੀ ਮੁੜ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਕਈ ਨਵੇਂ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰਾਂ ਨੂੰ ਪੇਸ਼ ਕਰਦੀ ਹੈ। ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਦੀ ਰਿਪੋਰਟ ਹੈ ਕਿ ਇਹ ਗਤੀਵਿਧੀ MuddyWater ਦੇ ਸਥਾਪਿਤ ਸੰਚਾਲਨ ਪੈਟਰਨਾਂ ਦੀ ਨਿਰੰਤਰਤਾ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ, ਜੋ META ਖੇਤਰ (ਮੱਧ ਪੂਰਬ, ਤੁਰਕੀ ਅਤੇ ਅਫਰੀਕਾ) ਵਿੱਚ ਇਸਦੀ ਨਿਰੰਤਰ ਮੌਜੂਦਗੀ ਨੂੰ ਮਜ਼ਬੂਤ ਕਰਦੀ ਹੈ।

ਇਨਫੈਕਸ਼ਨ ਵੈਕਟਰ ਅਤੇ ਹਮਲੇ ਦੀਆਂ ਚੇਨਾਂ

ਇਹ ਮੁਹਿੰਮ ਪਹਿਲਾਂ ਦੇ MuddyWater ਓਪਰੇਸ਼ਨਾਂ ਦੇ ਅਨੁਸਾਰ ਇੱਕ ਜਾਣੀ-ਪਛਾਣੀ ਘੁਸਪੈਠ ਵਿਧੀ ਦੀ ਪਾਲਣਾ ਕਰਦੀ ਹੈ। ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਆਮ ਤੌਰ 'ਤੇ ਸਪੀਅਰ-ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੀ ਹੈ ਜਿਸ ਵਿੱਚ ਖਤਰਨਾਕ ਮਾਈਕ੍ਰੋਸਾਫਟ ਆਫਿਸ ਅਟੈਚਮੈਂਟ ਹੁੰਦੇ ਹਨ। ਇਹ ਦਸਤਾਵੇਜ਼ ਪੀੜਤ ਦੇ ਸਿਸਟਮ 'ਤੇ ਪੇਲੋਡ ਨੂੰ ਡੀਕੋਡ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਮੈਕਰੋ ਕੋਡ ਨੂੰ ਏਮਬੈਡ ਕਰਦੇ ਹਨ, ਅੰਤ ਵਿੱਚ ਹਮਲਾਵਰਾਂ ਨੂੰ ਰਿਮੋਟ ਕੰਟਰੋਲ ਦਿੰਦੇ ਹਨ।

ਹਮਲੇ ਦੇ ਕਈ ਭਿੰਨਤਾਵਾਂ ਦੇਖੇ ਗਏ ਹਨ:

• ਇੱਕ ਖਤਰਨਾਕ ਮਾਈਕ੍ਰੋਸਾਫਟ ਐਕਸਲ ਦਸਤਾਵੇਜ਼ ਪੀੜਤਾਂ ਨੂੰ ਮੈਕਰੋ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਣ ਲਈ ਪ੍ਰੇਰਿਤ ਕਰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਰਸਟ-ਅਧਾਰਤ ਬੈਕਡੋਰ CHAR ਦੀ ਤੈਨਾਤੀ ਸ਼ੁਰੂ ਹੋ ਜਾਂਦੀ ਹੈ।
• ਇੱਕ ਸੰਬੰਧਿਤ ਰੂਪ GhostFetch ਡਾਊਨਲੋਡਰ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ, ਜੋ ਬਾਅਦ ਵਿੱਚ GhostBackDoor ਇਮਪਲਾਂਟ ਸਥਾਪਤ ਕਰਦਾ ਹੈ।
• ਇੱਕ ਤੀਜੀ ਇਨਫੈਕਸ਼ਨ ਚੇਨ HTTP_VIP ਡਾਊਨਲੋਡਰ ਨੂੰ ਵੰਡਣ ਲਈ ਮੱਧ ਪੂਰਬੀ ਊਰਜਾ ਅਤੇ ਸਮੁੰਦਰੀ ਸੇਵਾਵਾਂ ਕੰਪਨੀ ਦੀ ਨਕਲ ਕਰਨ ਦੀ ਬਜਾਏ, ਫਲਾਈਟ ਟਿਕਟਾਂ ਜਾਂ ਸੰਚਾਲਨ ਰਿਪੋਰਟਾਂ ਵਰਗੇ ਥੀਮ ਵਾਲੇ ਲਾਲਚਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ। ਇਹ ਰੂਪ ਅੰਤ ਵਿੱਚ ਨਿਰੰਤਰ ਪਹੁੰਚ ਲਈ AnyDesk ਰਿਮੋਟ ਡੈਸਕਟੌਪ ਐਪਲੀਕੇਸ਼ਨ ਨੂੰ ਸਥਾਪਿਤ ਕਰਦਾ ਹੈ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਸ ਸਮੂਹ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਵਾਤਾਵਰਣਾਂ ਤੱਕ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਇੰਟਰਨੈਟ-ਫੇਸਿੰਗ ਸਰਵਰਾਂ ਵਿੱਚ ਨਵੀਆਂ ਪ੍ਰਗਟ ਕੀਤੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਦੇਖਿਆ ਗਿਆ ਹੈ।

ਮਾਲਵੇਅਰ ਆਰਸਨਲ: ਕਸਟਮ ਟੂਲਿੰਗ ਅਤੇ ਮਾਡਿਊਲਰ ਇਮਪਲਾਂਟ

ਓਪਰੇਸ਼ਨ ਓਲਾਲੈਂਪੋ ਇੱਕ ਢਾਂਚਾਗਤ, ਬਹੁ-ਪੜਾਅ ਵਾਲੇ ਮਾਲਵੇਅਰ ਈਕੋਸਿਸਟਮ 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ ਜੋ ਖੋਜ, ਸਥਿਰਤਾ ਅਤੇ ਰਿਮੋਟ ਕੰਟਰੋਲ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਸ ਮੁਹਿੰਮ ਵਿੱਚ ਪਛਾਣੇ ਗਏ ਮੁੱਖ ਸਾਧਨਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

GhostFetch – ਇੱਕ ਪਹਿਲੇ-ਪੜਾਅ ਦਾ ਡਾਊਨਲੋਡਰ ਜੋ ਮਾਊਸ ਦੀ ਗਤੀ ਅਤੇ ਸਕ੍ਰੀਨ ਰੈਜ਼ੋਲਿਊਸ਼ਨ ਨੂੰ ਪ੍ਰਮਾਣਿਤ ਕਰਕੇ, ਡੀਬੱਗਿੰਗ ਟੂਲਸ ਦਾ ਪਤਾ ਲਗਾ ਕੇ, ਵਰਚੁਅਲ ਮਸ਼ੀਨ ਆਰਟੀਫੈਕਟਸ ਦੀ ਪਛਾਣ ਕਰਕੇ, ਅਤੇ ਐਂਟੀਵਾਇਰਸ ਸੌਫਟਵੇਅਰ ਦੀ ਜਾਂਚ ਕਰਕੇ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ ਦੀ ਪ੍ਰੋਫਾਈਲ ਕਰਦਾ ਹੈ। ਇਹ ਮੈਮੋਰੀ ਵਿੱਚ ਸਿੱਧੇ ਸੈਕੰਡਰੀ ਪੇਲੋਡ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ ਅਤੇ ਚਲਾਉਂਦਾ ਹੈ।

GhostBackDoor - GhostFetch ਦੁਆਰਾ ਦਿੱਤਾ ਗਿਆ ਇੱਕ ਦੂਜੇ-ਪੜਾਅ ਦਾ ਇਮਪਲਾਂਟ। ਇਹ ਇੰਟਰਐਕਟਿਵ ਸ਼ੈੱਲ ਐਕਸੈਸ, ਫਾਈਲ ਰੀਡ/ਰਾਈਟ ਓਪਰੇਸ਼ਨਾਂ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ, ਅਤੇ GhostFetch ਨੂੰ ਦੁਬਾਰਾ ਸ਼ੁਰੂ ਕਰ ਸਕਦਾ ਹੈ।

HTTP_VIP – ਇੱਕ ਨੇਟਿਵ ਡਾਊਨਲੋਡਰ ਜੋ ਸਿਸਟਮ ਰੀਕੋਨਾਈਸੈਂਸ ਕਰਦਾ ਹੈ ਅਤੇ ਪ੍ਰਮਾਣੀਕਰਨ ਲਈ ਬਾਹਰੀ ਡੋਮੇਨ "codefusiontech(dot)org" ਨਾਲ ਜੁੜਦਾ ਹੈ। ਇਹ ਇੱਕ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਤੋਂ AnyDesk ਨੂੰ ਤੈਨਾਤ ਕਰਦਾ ਹੈ। ਇੱਕ ਨਵਾਂ ਸੰਸਕਰਣ ਪੀੜਤ ਡੇਟਾ ਸੰਗ੍ਰਹਿ, ਇੰਟਰਐਕਟਿਵ ਸ਼ੈੱਲ ਐਗਜ਼ੀਕਿਊਸ਼ਨ, ਫਾਈਲ ਟ੍ਰਾਂਸਫਰ, ਕਲਿੱਪਬੋਰਡ ਕੈਪਚਰ, ਅਤੇ ਕੌਂਫਿਗਰੇਬਲ ਬੀਕਨਿੰਗ ਅੰਤਰਾਲਾਂ ਨਾਲ ਕਾਰਜਸ਼ੀਲਤਾ ਨੂੰ ਵਧਾਉਂਦਾ ਹੈ।

CHAR - ਇੱਕ ਜੰਗਾਲ-ਅਧਾਰਤ ਬੈਕਡੋਰ ਜਿਸਨੂੰ 'ਓਲਾਲੈਂਪੋ' (ਯੂਜ਼ਰਨੇਮ: stager_51_bot) ਵਜੋਂ ਪਛਾਣੇ ਗਏ ਇੱਕ ਟੈਲੀਗ੍ਰਾਮ ਬੋਟ ਦੁਆਰਾ ਨਿਯੰਤਰਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਇਹ ਡਾਇਰੈਕਟਰੀ ਨੈਵੀਗੇਸ਼ਨ ਅਤੇ cmd.exe ਜਾਂ PowerShell ਕਮਾਂਡਾਂ ਦੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ।

CHAR ਨਾਲ ਜੁੜੀ PowerShell ਕਾਰਜਕੁਸ਼ਲਤਾ ਇੱਕ SOCKS5 ਰਿਵਰਸ ਪ੍ਰੌਕਸੀ ਜਾਂ Kalim ਨਾਮਕ ਇੱਕ ਵਾਧੂ ਬੈਕਡੋਰ ਦੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦੀ ਹੈ। ਇਹ ਬ੍ਰਾਊਜ਼ਰ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਦੀ ਸਹੂਲਤ ਵੀ ਦਿੰਦਾ ਹੈ ਅਤੇ 'sh.exe' ਅਤੇ 'gshdoc_release_X64_GUI.exe' ਲੇਬਲ ਵਾਲੇ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਲਾਂਚ ਕਰਦਾ ਹੈ।

ਏਆਈ-ਸਹਾਇਤਾ ਪ੍ਰਾਪਤ ਵਿਕਾਸ ਅਤੇ ਕੋਡ ਓਵਰਲੈਪ

CHAR ਦੇ ਸਰੋਤ ਕੋਡ ਦੇ ਤਕਨੀਕੀ ਵਿਸ਼ਲੇਸ਼ਣ ਨੇ ਆਰਟੀਫੀਸ਼ੀਅਲ ਇੰਟੈਲੀਜੈਂਸ-ਸਹਾਇਤਾ ਪ੍ਰਾਪਤ ਵਿਕਾਸ ਦੇ ਸੰਕੇਤਾਂ ਦਾ ਖੁਲਾਸਾ ਕੀਤਾ। ਡੀਬੱਗ ਸਟ੍ਰਿੰਗਾਂ ਦੇ ਅੰਦਰ ਇਮੋਜੀ ਦੀ ਮੌਜੂਦਗੀ ਗੂਗਲ ਦੁਆਰਾ ਪ੍ਰਗਟ ਕੀਤੇ ਗਏ ਪਹਿਲਾਂ ਦੇ ਨਤੀਜਿਆਂ ਨਾਲ ਮੇਲ ਖਾਂਦੀ ਹੈ, ਜਿਸ ਵਿੱਚ ਦੱਸਿਆ ਗਿਆ ਸੀ ਕਿ MuddyWater ਮਾਲਵੇਅਰ ਵਿਕਾਸ ਨੂੰ ਵਧਾਉਣ ਲਈ ਜਨਰੇਟਿਵ AI ਟੂਲਸ ਨਾਲ ਪ੍ਰਯੋਗ ਕਰ ਰਿਹਾ ਹੈ, ਖਾਸ ਕਰਕੇ ਫਾਈਲ ਟ੍ਰਾਂਸਫਰ ਅਤੇ ਰਿਮੋਟ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਸਮਰੱਥਾਵਾਂ ਲਈ।

ਹੋਰ ਵਿਸ਼ਲੇਸ਼ਣ CHAR ਅਤੇ Rust-ਅਧਾਰਤ ਮਾਲਵੇਅਰ BlackBeard, ਜਿਸਨੂੰ Archer RAT ਜਾਂ RUSTRIC ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਵਿਚਕਾਰ ਢਾਂਚਾਗਤ ਅਤੇ ਵਾਤਾਵਰਣਕ ਸਮਾਨਤਾਵਾਂ ਦਰਸਾਉਂਦਾ ਹੈ, ਜੋ ਪਹਿਲਾਂ ਮੱਧ ਪੂਰਬੀ ਸੰਸਥਾਵਾਂ ਦੇ ਵਿਰੁੱਧ ਸਮੂਹ ਦੁਆਰਾ ਤੈਨਾਤ ਕੀਤਾ ਗਿਆ ਸੀ। ਇਹ ਓਵਰਲੈਪ ਸਾਂਝੇ ਵਿਕਾਸ ਪਾਈਪਲਾਈਨਾਂ ਅਤੇ ਟੂਲਿੰਗ ਦੇ ਦੁਹਰਾਉਣ ਵਾਲੇ ਸੁਧਾਰ ਦਾ ਸੁਝਾਅ ਦਿੰਦੇ ਹਨ।

ਸਮਰੱਥਾਵਾਂ ਅਤੇ ਰਣਨੀਤਕ ਇਰਾਦੇ ਦਾ ਵਿਸਤਾਰ

MuddyWater META ਖੇਤਰ ਦੇ ਅੰਦਰ ਇੱਕ ਨਿਰੰਤਰ ਅਤੇ ਵਿਕਸਤ ਹੋ ਰਿਹਾ ਖ਼ਤਰਾ ਕਾਰਕ ਬਣਿਆ ਹੋਇਆ ਹੈ। AI-ਸਹਾਇਤਾ ਪ੍ਰਾਪਤ ਵਿਕਾਸ ਦਾ ਏਕੀਕਰਨ, ਬੇਸਪੋਕ ਮਾਲਵੇਅਰ ਦੀ ਨਿਰੰਤਰ ਸੁਧਾਰ, ਜਨਤਕ-ਸਾਹਮਣੇ ਵਾਲੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ, ਅਤੇ C2 ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੀ ਵਿਭਿੰਨਤਾ ਸਮੂਹਿਕ ਤੌਰ 'ਤੇ ਕਾਰਜਸ਼ੀਲ ਵਿਸਥਾਰ ਲਈ ਇੱਕ ਲੰਬੇ ਸਮੇਂ ਦੀ ਵਚਨਬੱਧਤਾ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ।

ਓਪਰੇਸ਼ਨ ਓਲਾਲੈਂਪੋ ਸਮੂਹ ਦੇ MENA-ਅਧਾਰਿਤ ਟੀਚਿਆਂ 'ਤੇ ਨਿਰੰਤਰ ਧਿਆਨ ਕੇਂਦਰਿਤ ਕਰਦਾ ਹੈ ਅਤੇ ਇਸਦੀਆਂ ਘੁਸਪੈਠ ਸਮਰੱਥਾਵਾਂ ਦੀ ਵਧਦੀ ਸੂਝ-ਬੂਝ ਨੂੰ ਉਜਾਗਰ ਕਰਦਾ ਹੈ। ਖੇਤਰ ਵਿੱਚ ਕੰਮ ਕਰ ਰਹੀਆਂ ਸੰਸਥਾਵਾਂ ਨੂੰ ਉੱਚ ਚੌਕਸੀ ਬਣਾਈ ਰੱਖਣੀ ਚਾਹੀਦੀ ਹੈ, ਮੈਕਰੋ ਪਾਬੰਦੀਆਂ ਲਾਗੂ ਕਰਨੀਆਂ ਚਾਹੀਦੀਆਂ ਹਨ, ਆਊਟਬਾਉਂਡ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸੰਚਾਰਾਂ ਦੀ ਨਿਗਰਾਨੀ ਕਰਨੀ ਚਾਹੀਦੀ ਹੈ, ਅਤੇ ਇਸ ਵਿਕਸਤ ਹੋ ਰਹੇ ਖ਼ਤਰੇ ਦੇ ਦ੍ਰਿਸ਼ ਦੇ ਸੰਪਰਕ ਨੂੰ ਘਟਾਉਣ ਲਈ ਸਮੇਂ ਸਿਰ ਕਮਜ਼ੋਰੀ ਦੇ ਉਪਚਾਰ ਨੂੰ ਤਰਜੀਹ ਦੇਣੀ ਚਾਹੀਦੀ ਹੈ।