Operacja Olalampo – kampania ataków
Irańska grupa przestępcza MuddyWater, śledzona również pod nazwami Earth Vetala, Mango Sandstorm i MUDDYCOAST, rozpoczęła nową kampanię cybernetyczną o nazwie Operacja Olalampo. Operacja ta jest wymierzona głównie w organizacje i osoby prywatne w regionie Bliskiego Wschodu i Afryki Północnej (MENA).
Kampania, wykryta po raz pierwszy 26 stycznia 2026 roku, wprowadza wiele nowych rodzin złośliwego oprogramowania, wykorzystując jednocześnie komponenty wcześniej powiązane z tą grupą. Badacze bezpieczeństwa donoszą, że aktywność ta odzwierciedla kontynuację ustalonych schematów operacyjnych MuddyWater, wzmacniając jego stałą obecność w regionie META (Bliski Wschód, Turcja i Afryka).
Spis treści
Wektory infekcji i łańcuchy ataków
Kampania opiera się na znanej metodologii włamań, spójnej z wcześniejszymi operacjami MuddyWater. Początkowy dostęp zazwyczaj rozpoczyna się od wiadomości e-mail typu spear phishing zawierających złośliwe załączniki Microsoft Office. Dokumenty te zawierają osadzony kod makr, który ma na celu dekodowanie i uruchamianie ładunków w systemie ofiary, ostatecznie zapewniając atakującym zdalną kontrolę.
Zaobserwowano kilka wariantów ataku:
- Złośliwy dokument Microsoft Excel nakazuje ofiarom włączenie makr, co powoduje wdrożenie tylnego wejścia typu CHAR opartego na języku Rust.
- Podobna wersja dostarcza program pobierający GhostFetch, który następnie instaluje implant GhostBackDoor.
- Trzeci łańcuch infekcji wykorzystuje tematyczne przynęty, takie jak bilety lotnicze czy raporty operacyjne, zamiast podszywać się pod bliskowschodnią firmę energetyczną i usług morskich, aby rozpowszechniać program do pobierania HTTP_VIP. Ten wariant ostatecznie instaluje aplikację AnyDesk do zdalnego pulpitu, zapewniając stały dostęp.
Ponadto zaobserwowano, że grupa wykorzystuje niedawno odkryte luki w zabezpieczeniach serwerów mających dostęp do Internetu, aby uzyskać wstępny dostęp do docelowych środowisk.
Arsenał złośliwego oprogramowania: niestandardowe narzędzia i implanty modułowe
Operacja Olalampo opiera się na ustrukturyzowanym, wieloetapowym ekosystemie złośliwego oprogramowania, zaprojektowanym do rozpoznania, uporczywego działania i zdalnego sterowania. Główne narzędzia zidentyfikowane w tej kampanii obejmują:
GhostFetch – program do pobierania pierwszego etapu, który profiluje zainfekowane systemy poprzez weryfikację ruchu myszy i rozdzielczości ekranu, wykrywanie narzędzi debugujących, identyfikację artefaktów maszyn wirtualnych i sprawdzanie oprogramowania antywirusowego. Pobiera i uruchamia dodatkowe ładunki bezpośrednio w pamięci.
GhostBackDoor – implant drugiego etapu dostarczany przez GhostFetch. Umożliwia interaktywny dostęp do powłoki, operacje odczytu/zapisu plików i może ponownie inicjować GhostFetch.
HTTP_VIP – natywny program do pobierania, który przeprowadza rekonesans systemu i łączy się z zewnętrzną domeną „codefusiontech(dot)org” w celu uwierzytelnienia. Wdraża AnyDesk z serwera poleceń i kontroli (C2). Nowsza wersja rozszerza funkcjonalność o zbieranie danych ofiar, interaktywne wykonywanie powłoki, transfer plików, przechwytywanie zawartości schowka oraz konfigurowalne interwały sygnalizacji.
CHAR – Backdoor oparty na Ruście, kontrolowany przez bota Telegrama o nazwie „Olalampo” (nazwa użytkownika: stager_51_bot). Obsługuje nawigację po katalogach i wykonywanie poleceń cmd.exe lub PowerShell.
Funkcjonalność programu PowerShell powiązana z CHAR umożliwia uruchomienie odwrotnego proxy SOCKS5 lub dodatkowego backdoora o nazwie Kalim. Ułatwia również eksfiltrację danych przeglądarki i uruchamia pliki wykonywalne oznaczone jako „sh.exe” i „gshdoc_release_X64_GUI.exe”.
Rozwój wspomagany sztuczną inteligencją i nakładanie się kodu
Analiza techniczna kodu źródłowego CHAR ujawniła oznaki rozwoju wspomaganego przez sztuczną inteligencję. Obecność emotikonów w ciągach debugowania jest zgodna z wcześniejszymi ustaleniami Google, które donosiło, że MuddyWater eksperymentuje z generatywnymi narzędziami sztucznej inteligencji (AI) w celu usprawnienia tworzenia złośliwego oprogramowania, szczególnie w zakresie przesyłania plików i możliwości zdalnego wykonywania.
Dalsza analiza wykazuje podobieństwa strukturalne i środowiskowe między CHAR a opartym na Rust złośliwym oprogramowaniem BlackBeard, znanym również jako Archer RAT lub RUSTRIC, wcześniej wdrożonym przez grupę przeciwko podmiotom z Bliskiego Wschodu. Te nakładki sugerują wspólne procesy rozwojowe i iteracyjne udoskonalanie narzędzi.
Rozszerzanie możliwości i strategiczne zamiary
MuddyWater pozostaje stałym i rozwijającym się podmiotem stanowiącym zagrożenie w regionie META. Integracja rozwoju wspomaganego sztuczną inteligencją, ciągłe udoskonalanie dedykowanego złośliwego oprogramowania, wykorzystywanie luk w zabezpieczeniach dostępnych publicznie oraz dywersyfikacja infrastruktury C2 wspólnie świadczą o długoterminowym zaangażowaniu w ekspansję operacyjną.
Operacja Olalampo podkreśla stałe skupienie grupy na celach w regionie MENA i uwypukla rosnący poziom zaawansowania jej zdolności do włamań. Organizacje działające w tym regionie powinny zachować wzmożoną czujność, egzekwować ograniczenia makro, monitorować wychodzącą komunikację w ramach systemu dowodzenia i kontroli (C2) oraz priorytetowo traktować terminowe usuwanie luk w zabezpieczeniach, aby ograniczyć narażenie na ten ewoluujący krajobraz zagrożeń.
