Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Ameaça Persistente Avançada (APT) Operação Campanha de Ataque Olalampo

Operação Campanha de Ataque Olalampo

Por Mezo em Ameaça Persistente Avançada (APT), Malware
Traduzir Para:

O grupo de ameaças cibernéticas MuddyWater, alinhado ao Estado iraniano e também conhecido como Earth Vetala, Mango Sandstorm e MUDDYCOAST, lançou uma nova campanha cibernética denominada Operação Olalampo. A operação tem como alvo principal organizações e indivíduos no Oriente Médio e Norte da África (MENA).

Detectada pela primeira vez em 26 de janeiro de 2026, a campanha introduz diversas novas famílias de malware, reutilizando componentes previamente associados ao grupo. Pesquisadores de segurança relatam que a atividade reflete uma continuidade dos padrões operacionais já estabelecidos pela MuddyWater, reforçando sua presença persistente na região META (Oriente Médio, Turquia e África).

Vetores de infecção e cadeias de ataque

A campanha segue uma metodologia de intrusão já conhecida, consistente com operações anteriores da MuddyWater. O acesso inicial geralmente começa com e-mails de spear-phishing contendo anexos maliciosos do Microsoft Office. Esses documentos incorporam código macro projetado para decodificar e executar payloads no sistema da vítima, concedendo, em última instância, controle remoto aos atacantes.

Foram observadas diversas variações de ataque:

  • Um documento malicioso do Microsoft Excel induz as vítimas a habilitarem as macros, acionando a implantação do backdoor CHAR, baseado em Rust.
  • Uma variante relacionada distribui o programa de download GhostFetch, que posteriormente instala o implante GhostBackDoor.
  • Uma terceira cadeia de infecção utiliza iscas temáticas, como passagens aéreas ou relatórios operacionais, em vez de se passar por uma empresa de energia e serviços marítimos do Oriente Médio, para distribuir o programa de download HTTP_VIP. Essa variante acaba instalando o aplicativo de acesso remoto AnyDesk para acesso persistente.

Além disso, observou-se que o grupo explora vulnerabilidades recentemente divulgadas em servidores expostos à internet para obter acesso inicial a ambientes específicos.

Arsenal de Malware: Ferramentas Personalizadas e Implantes Modulares

A Operação Olalampo se baseia em um ecossistema de malware estruturado e de múltiplos estágios, projetado para reconhecimento, persistência e controle remoto. As principais ferramentas identificadas nesta campanha incluem:

GhostFetch – Um programa de download de primeiro estágio que cria perfis de sistemas comprometidos, validando o movimento do mouse e a resolução da tela, detectando ferramentas de depuração, identificando artefatos de máquinas virtuais e verificando a presença de software antivírus. Ele recupera e executa payloads secundários diretamente na memória.

GhostBackDoor – Um implante de segundo estágio fornecido pelo GhostFetch. Ele permite acesso interativo ao shell, operações de leitura/gravação de arquivos e pode reiniciar o GhostFetch.

HTTP_VIP – Um downloader nativo que realiza reconhecimento do sistema e se conecta ao domínio externo "codefusiontech(dot)org" para autenticação. Ele implanta o AnyDesk a partir de um servidor de comando e controle (C2). Uma versão mais recente aprimora a funcionalidade com coleta de dados da vítima, execução interativa de shell, transferência de arquivos, captura da área de transferência e intervalos de beaconing configuráveis.

CHAR – Um backdoor baseado em Rust controlado por um bot do Telegram identificado como 'Olalampo' (nome de usuário: stager_51_bot). Ele suporta navegação em diretórios e execução de comandos do cmd.exe ou do PowerShell.

A funcionalidade do PowerShell associada ao CHAR permite a execução de um proxy reverso SOCKS5 ou de uma porta dos fundos adicional chamada Kalim. Ela também facilita a exfiltração de dados do navegador e executa arquivos com os nomes 'sh.exe' e 'gshdoc_release_X64_GUI.exe'.

Desenvolvimento assistido por IA e sobreposição de código

A análise técnica do código-fonte do CHAR revelou indícios de desenvolvimento assistido por inteligência artificial. A presença de emojis em strings de depuração está de acordo com descobertas anteriores divulgadas pelo Google, que relatou que a MuddyWater vem experimentando ferramentas de IA generativa para aprimorar o desenvolvimento de malware, principalmente para transferência de arquivos e execução remota.

Análises adicionais mostram semelhanças estruturais e ambientais entre o CHAR e o malware BlackBeard, baseado em Rust, também conhecido como Archer RAT ou RUSTRIC, anteriormente utilizado pelo grupo contra entidades do Oriente Médio. Essas sobreposições sugerem fluxos de desenvolvimento compartilhados e refinamento iterativo das ferramentas.

Ampliação de Capacidades e Intenção Estratégica

A MuddyWater continua sendo uma ameaça persistente e em constante evolução na região META. A integração do desenvolvimento assistido por IA, o aprimoramento contínuo de malware personalizado, a exploração de vulnerabilidades públicas e a diversificação da infraestrutura de comando e controle demonstram, em conjunto, um compromisso de longo prazo com a expansão operacional.

A Operação Olalampo reforça o foco contínuo do grupo em alvos no Oriente Médio e Norte da África (MENA) e destaca a crescente sofisticação de suas capacidades de intrusão. Organizações que operam na região devem manter vigilância constante, aplicar restrições de macro, monitorar as comunicações de Comando e Controle (C2) de saída e priorizar a correção de vulnerabilidades em tempo hábil para mitigar a exposição a esse cenário de ameaças em constante evolução.

Tendendo

Mais visto

Carregando...