ఆపరేషన్ ఓలాలంపో దాడి ప్రచారం

ఇరాన్ ప్రభుత్వ-సమన్వయ ముప్పు సమూహం మడ్డీవాటర్, దీనిని ఎర్త్ వెటాలా, మాంగో సాండ్‌స్టార్మ్ మరియు మడ్డీకోస్ట్ అని కూడా పిలుస్తారు, ఆపరేషన్ ఓలాలంపో అనే కొత్త సైబర్ ప్రచారాన్ని ప్రారంభించింది. ఈ ఆపరేషన్ ప్రధానంగా మిడిల్ ఈస్ట్ మరియు నార్త్ ఆఫ్రికా (MENA) ప్రాంతంలోని సంస్థలు మరియు వ్యక్తులను లక్ష్యంగా చేసుకుంది.

జనవరి 26, 2026న మొదటిసారిగా గుర్తించబడిన ఈ ప్రచారం, గతంలో గ్రూప్‌తో అనుబంధించబడిన భాగాలను తిరిగి ఉపయోగిస్తూనే బహుళ కొత్త మాల్వేర్ కుటుంబాలను పరిచయం చేస్తుంది. భద్రతా పరిశోధకులు ఈ కార్యాచరణ మడ్డీవాటర్ యొక్క స్థాపించబడిన కార్యాచరణ నమూనాల కొనసాగింపును ప్రతిబింబిస్తుందని, META ప్రాంతం (మధ్యప్రాచ్యం, టర్కీ మరియు ఆఫ్రికా) అంతటా దాని నిరంతర ఉనికిని బలోపేతం చేస్తుందని నివేదిస్తున్నారు.

ఇన్ఫెక్షన్ వెక్టర్స్ మరియు అటాక్ చైన్లు

ఈ ప్రచారం మునుపటి మడ్డీవాటర్ కార్యకలాపాలకు అనుగుణంగా సుపరిచితమైన చొరబాటు పద్ధతిని అనుసరిస్తుంది. ప్రారంభ యాక్సెస్ సాధారణంగా హానికరమైన మైక్రోసాఫ్ట్ ఆఫీస్ అటాచ్‌మెంట్‌లను కలిగి ఉన్న స్పియర్-ఫిషింగ్ ఇమెయిల్‌లతో ప్రారంభమవుతుంది. ఈ పత్రాలు బాధితుడి సిస్టమ్‌లోని పేలోడ్‌లను డీకోడ్ చేయడానికి మరియు అమలు చేయడానికి రూపొందించబడిన మాక్రో కోడ్‌ను పొందుపరుస్తాయి, చివరికి దాడి చేసేవారికి రిమోట్ కంట్రోల్‌ను అందిస్తాయి.

దాడిలో అనేక వైవిధ్యాలు గమనించబడ్డాయి:

• ఒక హానికరమైన మైక్రోసాఫ్ట్ ఎక్సెల్ డాక్యుమెంట్ బాధితులను మాక్రోలను ఎనేబుల్ చేయమని ప్రేరేపిస్తుంది, ఇది రస్ట్-ఆధారిత బ్యాక్‌డోర్ CHAR యొక్క విస్తరణను ప్రేరేపిస్తుంది.
• సంబంధిత వేరియంట్ GhostFetch డౌన్‌లోడ్‌ను అందిస్తుంది, ఇది తరువాత GhostBackDoor ఇంప్లాంట్‌ను ఇన్‌స్టాల్ చేస్తుంది.
• మూడవ ఇన్ఫెక్షన్ గొలుసు HTTP_VIP డౌన్‌లోడ్‌ను పంపిణీ చేయడానికి మిడిల్ ఈస్ట్రన్ ఎనర్జీ మరియు మెరైన్ సర్వీసెస్ కంపెనీని అనుకరించడానికి బదులుగా విమాన టిక్కెట్లు లేదా కార్యాచరణ నివేదికలు వంటి నేపథ్య ఆకర్షణలను ఉపయోగిస్తుంది. ఈ వేరియంట్ చివరికి నిరంతర యాక్సెస్ కోసం AnyDesk రిమోట్ డెస్క్‌టాప్ అప్లికేషన్‌ను ఇన్‌స్టాల్ చేస్తుంది.

అదనంగా, లక్ష్య వాతావరణాలకు ప్రారంభ ప్రాప్యతను పొందడానికి ఇంటర్నెట్-ఫేసింగ్ సర్వర్‌లలో కొత్తగా వెల్లడైన దుర్బలత్వాలను సమూహం ఉపయోగించుకుంటున్నట్లు గమనించబడింది.

మాల్వేర్ ఆర్సెనల్: కస్టమ్ టూలింగ్ మరియు మాడ్యులర్ ఇంప్లాంట్లు

ఆపరేషన్ ఓలాలంపో నిఘా, నిలకడ మరియు రిమోట్ కంట్రోల్ కోసం రూపొందించబడిన నిర్మాణాత్మక, బహుళ-దశల మాల్వేర్ పర్యావరణ వ్యవస్థపై ఆధారపడుతుంది. ఈ ప్రచారంలో గుర్తించబడిన ప్రాథమిక సాధనాలు:

GhostFetch – మౌస్ కదలిక మరియు స్క్రీన్ రిజల్యూషన్‌ను ధృవీకరించడం, డీబగ్గింగ్ సాధనాలను గుర్తించడం, వర్చువల్ మెషిన్ కళాఖండాలను గుర్తించడం మరియు యాంటీవైరస్ సాఫ్ట్‌వేర్ కోసం తనిఖీ చేయడం ద్వారా రాజీపడిన వ్యవస్థలను ప్రొఫైల్ చేసే మొదటి-దశ డౌన్‌లోడ్. ఇది సెకండరీ పేలోడ్‌లను నేరుగా మెమరీలో తిరిగి పొందుతుంది మరియు అమలు చేస్తుంది.

GhostBackDoor – GhostFetch ద్వారా అందించబడిన రెండవ-దశ ఇంప్లాంట్. ఇది ఇంటరాక్టివ్ షెల్ యాక్సెస్, ఫైల్ రీడ్/రైట్ ఆపరేషన్‌లను ప్రారంభిస్తుంది మరియు GhostFetchని తిరిగి ప్రారంభించగలదు.

HTTP_VIP – సిస్టమ్ నిఘాను నిర్వహించే మరియు ప్రామాణీకరణ కోసం బాహ్య డొమైన్ "codefusiontech(dot)org"కి కనెక్ట్ అయ్యే స్థానిక డౌన్‌లోడ్. ఇది కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్ నుండి AnyDeskని అమలు చేస్తుంది. కొత్త వెర్షన్ బాధితుల డేటా సేకరణ, ఇంటరాక్టివ్ షెల్ అమలు, ఫైల్ బదిలీలు, క్లిప్‌బోర్డ్ క్యాప్చర్ మరియు కాన్ఫిగర్ చేయగల బీకనింగ్ విరామాలతో కార్యాచరణను మెరుగుపరుస్తుంది.

CHAR – 'Olalampo' (యూజర్‌నేమ్: stager_51_bot) గా గుర్తించబడిన టెలిగ్రామ్ బాట్ ద్వారా నియంత్రించబడే తుప్పు ఆధారిత బ్యాక్‌డోర్. ఇది డైరెక్టరీ నావిగేషన్ మరియు cmd.exe లేదా PowerShell ఆదేశాల అమలుకు మద్దతు ఇస్తుంది.

CHAR తో అనుబంధించబడిన పవర్‌షెల్ కార్యాచరణ SOCKS5 రివర్స్ ప్రాక్సీ లేదా కాలిమ్ అనే అదనపు బ్యాక్‌డోర్‌ను అమలు చేయడానికి వీలు కల్పిస్తుంది. ఇది బ్రౌజర్ డేటా ఎక్స్‌ఫిల్ట్రేషన్‌ను కూడా సులభతరం చేస్తుంది మరియు 'sh.exe' మరియు 'gshdoc_release_X64_GUI.exe' లేబుల్ చేయబడిన ఎక్జిక్యూటబుల్‌లను ప్రారంభిస్తుంది.

AI-సహాయక అభివృద్ధి మరియు కోడ్ ఓవర్‌లాప్

CHAR యొక్క సోర్స్ కోడ్ యొక్క సాంకేతిక విశ్లేషణ కృత్రిమ మేధస్సు-సహాయక అభివృద్ధి సూచికలను వెల్లడించింది. డీబగ్ స్ట్రింగ్‌లలో ఎమోజీల ఉనికి గూగుల్ వెల్లడించిన మునుపటి ఫలితాలతో సమానంగా ఉంది, మడ్డీవాటర్ మాల్వేర్ అభివృద్ధిని మెరుగుపరచడానికి, ముఖ్యంగా ఫైల్ బదిలీ మరియు రిమోట్ అమలు సామర్థ్యాల కోసం జనరేటివ్ AI సాధనాలతో ప్రయోగాలు చేస్తోందని నివేదించింది.

మరింత విశ్లేషణ CHAR మరియు Rust-ఆధారిత మాల్వేర్ BlackBeard, దీనిని Archer RAT లేదా RUSTRIC అని కూడా పిలుస్తారు, మధ్యప్రాచ్య సంస్థలకు వ్యతిరేకంగా గతంలో గ్రూప్ ద్వారా అమలు చేయబడిన నిర్మాణాత్మక మరియు పర్యావరణ సారూప్యతలను చూపుతుంది. ఈ అతివ్యాప్తులు భాగస్వామ్య అభివృద్ధి పైప్‌లైన్‌లను మరియు సాధనాల పునరావృత శుద్ధీకరణను సూచిస్తున్నాయి.

సామర్థ్యాలు మరియు వ్యూహాత్మక ఉద్దేశాన్ని విస్తరించడం

META ప్రాంతంలో మడ్డీవాటర్ నిరంతర మరియు అభివృద్ధి చెందుతున్న ముప్పు నాయకుడిగా ఉంది. AI-సహాయక అభివృద్ధి యొక్క ఏకీకరణ, బెస్పోక్ మాల్వేర్ యొక్క నిరంతర మెరుగుదల, ప్రజలకు ఎదురయ్యే దుర్బలత్వాల దోపిడీ మరియు C2 మౌలిక సదుపాయాల వైవిధ్యీకరణ సమిష్టిగా కార్యాచరణ విస్తరణకు దీర్ఘకాలిక నిబద్ధతను ప్రదర్శిస్తాయి.

ఆపరేషన్ ఓలాలంపో MENA-ఆధారిత లక్ష్యాలపై సమూహం యొక్క నిరంతర దృష్టిని నొక్కి చెబుతుంది మరియు దాని చొరబాటు సామర్థ్యాల పెరుగుతున్న అధునాతనతను హైలైట్ చేస్తుంది. ఈ ప్రాంతంలో పనిచేస్తున్న సంస్థలు అధిక నిఘాను కొనసాగించాలి, స్థూల పరిమితులను అమలు చేయాలి, అవుట్‌బౌండ్ కమాండ్-అండ్-కంట్రోల్ (C2) కమ్యూనికేషన్‌లను పర్యవేక్షించాలి మరియు ఈ అభివృద్ధి చెందుతున్న ముప్పు ప్రకృతి దృశ్యానికి గురికావడాన్ని తగ్గించడానికి సకాలంలో దుర్బలత్వ పరిష్కారానికి ప్రాధాన్యత ఇవ్వాలి.