ปฏิบัติการโอลาลัมโป แคมเปญโจมตี

กลุ่มก่อการร้ายไซเบอร์ MuddyWater ซึ่งได้รับการสนับสนุนจากรัฐบาลอิหร่าน และยังมีชื่อเรียกอื่นๆ เช่น Earth Vetala, Mango Sandstorm และ MUDDYCOAST ได้เปิดตัวปฏิบัติการโจมตีทางไซเบอร์ครั้งใหม่ภายใต้ชื่อปฏิบัติการ Olalampo โดยมุ่งเป้าไปที่องค์กรและบุคคลต่างๆ ในภูมิภาคตะวันออกกลางและแอฟริกาเหนือ (MENA) เป็นหลัก

ตรวจพบครั้งแรกเมื่อวันที่ 26 มกราคม 2026 แคมเปญนี้ได้นำมัลแวร์ตระกูลใหม่หลายตระกูลมาใช้ ในขณะเดียวกันก็ใช้ส่วนประกอบที่เคยเกี่ยวข้องกับกลุ่มนี้มาก่อน นักวิจัยด้านความปลอดภัยรายงานว่ากิจกรรมดังกล่าวสะท้อนให้เห็นถึงการดำเนินงานตามรูปแบบเดิมของ MuddyWater ซึ่งเป็นการตอกย้ำการมีอยู่ของกลุ่มนี้ในภูมิภาค META (ตะวันออกกลาง ตุรกี และแอฟริกา)

พาหะนำโรคและห่วงโซ่การโจมตี

แคมเปญนี้ใช้กลยุทธ์การบุกรุกที่คุ้นเคย ซึ่งสอดคล้องกับการปฏิบัติการก่อนหน้านี้ของ MuddyWater โดยทั่วไป การเข้าถึงเริ่มต้นจากการส่งอีเมลฟิชชิงแบบเจาะจงเป้าหมาย (spear-phishing) ที่มีไฟล์แนบเป็นเอกสาร Microsoft Office ที่เป็นอันตราย เอกสารเหล่านี้ฝังโค้ดมาโครที่ออกแบบมาเพื่อถอดรหัสและเรียกใช้เพย์โหลดบนระบบของเหยื่อ ซึ่งจะทำให้ผู้โจมตีสามารถควบคุมระบบจากระยะไกลได้ในที่สุด

พบรูปแบบการโจมตีหลายแบบ:

• เอกสาร Microsoft Excel ที่เป็นอันตรายจะแจ้งให้เหยื่อเปิดใช้งานมาโคร ซึ่งจะกระตุ้นให้แบ็กดอร์ CHAR ที่เขียนด้วยภาษา Rust ถูกติดตั้งใช้งาน
• มัลแวร์อีกรูปแบบหนึ่งที่เกี่ยวข้องจะปล่อยโปรแกรมดาวน์โหลด GhostFetch ซึ่งจะติดตั้งมัลแวร์ GhostBackDoor ในภายหลัง
• ห่วงโซ่การติดเชื้อที่สามใช้เหยื่อล่อที่มีธีมเฉพาะ เช่น ตั๋วเครื่องบินหรือรายงานการปฏิบัติงาน แทนที่จะแอบอ้างเป็นบริษัทด้านพลังงานและบริการทางทะเลจากตะวันออกกลาง เพื่อแจกจ่ายโปรแกรมดาวน์โหลด HTTP_VIP เวอร์ชันนี้จะติดตั้งแอปพลิเคชัน AnyDesk สำหรับการเข้าถึงระยะไกลในที่สุด

นอกจากนี้ ยังพบว่ากลุ่มดังกล่าวใช้ประโยชน์จากช่องโหว่ที่เพิ่งถูกเปิดเผยในเซิร์ฟเวอร์ที่เชื่อมต่อกับอินเทอร์เน็ต เพื่อเข้าถึงสภาพแวดล้อมเป้าหมายในเบื้องต้น

คลังมัลแวร์: เครื่องมือเฉพาะและอิมแพลนต์แบบโมดูลาร์

ปฏิบัติการ Olalampo อาศัยระบบนิเวศมัลแวร์ที่มีโครงสร้างหลายขั้นตอน ซึ่งออกแบบมาเพื่อการสอดแนม การคงอยู่ และการควบคุมระยะไกล เครื่องมือหลักที่ระบุในแคมเปญนี้ได้แก่:

GhostFetch – โปรแกรมดาวน์โหลดขั้นแรกที่ตรวจสอบระบบที่ถูกบุกรุกโดยการตรวจสอบการเคลื่อนไหวของเมาส์และความละเอียดหน้าจอ ตรวจจับเครื่องมือดีบัก ระบุสิ่งผิดปกติในเครื่องเสมือน และตรวจสอบซอฟต์แวร์ป้องกันไวรัส จากนั้นจะดึงและเรียกใช้เพย์โหลดขั้นที่สองโดยตรงในหน่วยความจำ

GhostBackDoor – โปรแกรมฝังตัวขั้นที่สองที่ส่งมาโดย GhostFetch มันช่วยให้สามารถเข้าถึงเชลล์แบบโต้ตอบ อ่าน/เขียนไฟล์ และสามารถเริ่มต้น GhostFetch ใหม่ได้

HTTP_VIP – โปรแกรมดาวน์โหลดแบบเนทีฟที่ทำการสำรวจระบบและเชื่อมต่อกับโดเมนภายนอก "codefusiontech(dot)org" เพื่อตรวจสอบสิทธิ์ โปรแกรมนี้ติดตั้ง AnyDesk จากเซิร์ฟเวอร์ควบคุมและสั่งการ (C2) เวอร์ชันใหม่กว่าได้เพิ่มฟังก์ชันการทำงานด้วยการรวบรวมข้อมูลเหยื่อ การเรียกใช้เชลล์แบบโต้ตอบ การถ่ายโอนไฟล์ การจับภาพคลิปบอร์ด และช่วงเวลาการส่งสัญญาณที่กำหนดค่าได้

CHAR – แบ็กดอร์ที่เขียนด้วยภาษา Rust ควบคุมผ่านบอท Telegram ที่ระบุชื่อว่า 'Olalampo' (ชื่อผู้ใช้: stager_51_bot) รองรับการเข้าถึงไดเร็กทอรีและการเรียกใช้คำสั่ง cmd.exe หรือ PowerShell

ฟังก์ชัน PowerShell ที่เกี่ยวข้องกับ CHAR ช่วยให้สามารถเรียกใช้พร็อกซีแบบย้อนกลับ SOCKS5 หรือแบ็กดอร์เพิ่มเติมที่ชื่อ Kalim ได้ นอกจากนี้ยังอำนวยความสะดวกในการดึงข้อมูลจากเบราว์เซอร์และเรียกใช้ไฟล์ปฏิบัติการที่มีชื่อว่า 'sh.exe' และ 'gshdoc_release_X64_GUI.exe'

การพัฒนาโดยใช้ AI ช่วยเหลือและการทับซ้อนของโค้ด

การวิเคราะห์ทางเทคนิคของซอร์สโค้ดของ CHAR เผยให้เห็นข้อบ่งชี้ของการพัฒนาโดยใช้ปัญญาประดิษฐ์ (AI) การปรากฏของอีโมจิในสตริงดีบักสอดคล้องกับสิ่งที่ Google เคยเปิดเผยมาก่อน ซึ่งรายงานว่า MuddyWater ได้ทดลองใช้เครื่องมือ AI แบบสร้างสรรค์เพื่อเพิ่มประสิทธิภาพในการพัฒนาโปรแกรมมัลแวร์ โดยเฉพาะอย่างยิ่งสำหรับการถ่ายโอนไฟล์และความสามารถในการเรียกใช้งานจากระยะไกล

การวิเคราะห์เพิ่มเติมแสดงให้เห็นถึงความคล้ายคลึงกันทางโครงสร้างและสิ่งแวดล้อมระหว่าง CHAR และมัลแวร์ BlackBeard ที่เขียนด้วยภาษา Rust ซึ่งรู้จักกันในชื่อ Archer RAT หรือ RUSTRIC ที่กลุ่มดังกล่าวเคยใช้โจมตีหน่วยงานในตะวันออกกลางมาก่อน ความคล้ายคลึงกันเหล่านี้ชี้ให้เห็นถึงกระบวนการพัฒนาที่ใช้ร่วมกันและการปรับปรุงเครื่องมืออย่างต่อเนื่อง

การขยายขีดความสามารถและเจตนารมณ์เชิงกลยุทธ์

MuddyWater ยังคงเป็นผู้ก่อภัยคุกคามที่ต่อเนื่องและพัฒนาอยู่ตลอดเวลาในภูมิภาค META การบูรณาการการพัฒนาโดยใช้ AI การปรับปรุงมัลแวร์เฉพาะทางอย่างต่อเนื่อง การใช้ประโยชน์จากช่องโหว่ที่เปิดเผยต่อสาธารณะ และการกระจายโครงสร้างพื้นฐาน C2 แสดงให้เห็นถึงความมุ่งมั่นในระยะยาวต่อการขยายการดำเนินงาน

ปฏิบัติการโอลาลัมโปเน้นย้ำถึงการมุ่งเน้นอย่างต่อเนื่องของกลุ่มนี้ต่อเป้าหมายในภูมิภาคตะวันออกกลางและแอฟริกาเหนือ และแสดงให้เห็นถึงความซับซ้อนที่เพิ่มขึ้นของความสามารถในการแทรกซึม องค์กรที่ดำเนินงานในภูมิภาคนี้ควรเพิ่มความระมัดระวัง บังคับใช้ข้อจำกัดระดับมหภาค ตรวจสอบการสื่อสารควบคุมและสั่งการ (C2) ขาออก และให้ความสำคัญกับการแก้ไขช่องโหว่อย่างทันท่วงทีเพื่อลดความเสี่ยงจากภัยคุกคามที่เปลี่ยนแปลงไปนี้