Kampanya ng Pag-atake sa Operasyon Olalampo

Ang grupong banta na kaalyado ng estado ng Iran na MuddyWater, na kilala rin bilang Earth Vetala, Mango Sandstorm, at MUDDYCOAST, ay naglunsad ng isang bagong kampanya sa cyber na tinatawag na Operation Olalampo. Pangunahing tinarget ng operasyon ang mga organisasyon at indibidwal sa buong rehiyon ng Middle East at North Africa (MENA).

Unang natukoy noong Enero 26, 2026, ang kampanya ay nagpakilala ng maraming bagong pamilya ng malware habang muling ginagamit ang mga bahaging dating nauugnay sa grupo. Iniulat ng mga mananaliksik sa seguridad na ang aktibidad ay sumasalamin sa pagpapatuloy ng mga itinatag na pattern ng operasyon ng MuddyWater, na nagpapatibay sa patuloy na presensya nito sa buong rehiyon ng META (Gitnang Silangan, Turkey, at Africa).

Mga Vector ng Impeksyon at Mga Kadena ng Pag-atake

Sinusundan ng kampanya ang isang pamilyar na pamamaraan ng panghihimasok na naaayon sa mga naunang operasyon ng MuddyWater. Ang unang pag-access ay karaniwang nagsisimula sa mga email na spear-phishing na naglalaman ng mga malisyosong attachment ng Microsoft Office. Ang mga dokumentong ito ay naglalagay ng macro code na idinisenyo upang i-decode at isagawa ang mga payload sa sistema ng biktima, na sa huli ay nagbibigay ng remote control sa mga umaatake.

Maraming mga pagkakaiba-iba ng pag-atake ang naobserbahan:

• Isang malisyosong dokumento ng Microsoft Excel ang nag-udyok sa mga biktima na paganahin ang mga macro, na nag-trigger sa pag-deploy ng Rust-based backdoor CHAR.
• Ang isang kaugnay na variant ay naghahatid ng GhostFetch downloader, na siyang kasunod na nag-i-install ng GhostBackDoor implant.
• Ang ikatlong kadena ng impeksyon ay gumagamit ng mga pang-akit na may temang tulad ng mga tiket sa paglipad o mga ulat sa operasyon, sa halip na magpanggap na isang kumpanya ng enerhiya at serbisyo sa dagat sa Gitnang Silangan, upang ipamahagi ang HTTP_VIP downloader. Sa huli, ini-install ng variant na ito ang AnyDesk remote desktop application para sa patuloy na pag-access.

Bukod pa rito, naobserbahan ang grupo na sinasamantala ang mga bagong isiniwalat na kahinaan sa mga server na nakaharap sa internet upang makakuha ng paunang access sa mga target na kapaligiran.

Malware Arsenal: Pasadyang Tooling at Modular Implants

Ang Operation Olalampo ay umaasa sa isang nakabalangkas, maraming yugtong ecosystem ng malware na idinisenyo para sa pagmamanman, pagpupursige, at remote control. Ang mga pangunahing kagamitang natukoy sa kampanyang ito ay kinabibilangan ng:

GhostFetch – Isang first-stage downloader na nagpo-profile ng mga nakompromisong system sa pamamagitan ng pag-validate sa paggalaw ng mouse at resolution ng screen, pag-detect ng mga debugging tool, pagtukoy ng mga artifact ng virtual machine, at pagsuri para sa antivirus software. Kinukuha at isinasagawa nito ang mga secondary payload nang direkta sa memory.

GhostBackDoor – Isang pangalawang yugto ng implant na inihatid ng GhostFetch. Nagbibigay-daan ito sa interactive na pag-access sa shell, mga operasyon sa pagbasa/pagsulat ng file, at maaaring muling simulan ang GhostFetch.

HTTP_VIP – Isang native downloader na nagsasagawa ng system reconnaissance at kumokonekta sa external domain na "codefusiontech(dot)org" para sa authentication. Inilalagay nito ang AnyDesk mula sa isang command-and-control (C2) server. Pinahuhusay ng mas bagong bersyon ang functionality gamit ang victim data collection, interactive shell execution, file transfers, clipboard capture, at configurable beaconing intervals.

CHAR – Isang backdoor na nakabase sa Rust na kinokontrol sa pamamagitan ng isang Telegram bot na kinilala bilang 'Olalampo' (username: stager_51_bot). Sinusuportahan nito ang nabigasyon sa direktoryo at pagpapatupad ng mga utos na cmd.exe o PowerShell.

Ang functionality ng PowerShell na nauugnay sa CHAR ay nagbibigay-daan sa pagpapatupad ng isang SOCKS5 reverse proxy o isang karagdagang backdoor na pinangalanang Kalim. Pinapadali rin nito ang pag-exfiltration ng data ng browser at naglulunsad ng mga executable na may label na 'sh.exe' at 'gshdoc_release_X64_GUI.exe.'

Pagpapaunlad na Tinutulungan ng AI at Pagsasama-sama ng Kodigo

Ang teknikal na pagsusuri ng source code ng CHAR ay nagsiwalat ng mga indikasyon ng pag-unlad na tinutulungan ng artificial intelligence. Ang pagkakaroon ng mga emoji sa loob ng mga debug string ay naaayon sa mga naunang natuklasan na isiniwalat ng Google, na nag-ulat na ang MuddyWater ay nag-eeksperimento sa mga generative AI tool upang mapahusay ang pag-unlad ng malware, lalo na para sa paglilipat ng file at mga kakayahan sa remote execution.

Ipinapakita ng karagdagang pagsusuri ang pagkakatulad sa istruktura at kapaligiran sa pagitan ng CHAR at ng Rust-based malware na BlackBeard, na kilala rin bilang Archer RAT o RUSTRIC, na dating ipinatupad ng grupo laban sa mga entidad sa Gitnang Silangan. Ang mga pagsasanib na ito ay nagmumungkahi ng mga shared development pipeline at paulit-ulit na pagpipino ng tooling.

Pagpapalawak ng mga Kakayahan at Istratehikong Layunin

Ang MuddyWater ay nananatiling isang patuloy at umuusbong na aktor ng banta sa loob ng rehiyon ng META. Ang pagsasama ng AI-assisted development, patuloy na pagpipino ng bespoke malware, pagsasamantala sa mga kahinaan na nakaharap sa publiko, at ang pag-iba-iba ng imprastraktura ng C2 ay sama-samang nagpapakita ng pangmatagalang pangako sa pagpapalawak ng operasyon.

Binibigyang-diin ng Operation Olalampo ang patuloy na pagtutok ng grupo sa mga target na nakabase sa MENA at itinatampok ang lumalaking sopistikasyon ng mga kakayahan nito sa panghihimasok. Ang mga organisasyong nagpapatakbo sa rehiyon ay dapat magpanatili ng mas mahigpit na pagbabantay, magpatupad ng mga macro restriction, subaybayan ang mga outbound Command-and-Control (C2) na komunikasyon, at unahin ang napapanahong remediation ng kahinaan upang mabawasan ang pagkakalantad sa nagbabagong tanawin ng banta.