Chiến dịch tấn công Olalampo

Nhóm tin tặc MuddyWater, được biết đến với các tên gọi khác như Earth Vetala, Mango Sandstorm và MUDDYCOAST, do nhà nước Iran hậu thuẫn, đã phát động một chiến dịch tấn công mạng mới mang tên Chiến dịch Olalampo. Chiến dịch này chủ yếu nhắm vào các tổ chức và cá nhân trên khắp khu vực Trung Đông và Bắc Phi (MENA).

Được phát hiện lần đầu vào ngày 26 tháng 1 năm 2026, chiến dịch này giới thiệu nhiều họ phần mềm độc hại mới đồng thời tái sử dụng các thành phần đã từng được liên kết với nhóm này trước đây. Các nhà nghiên cứu bảo mật báo cáo rằng hoạt động này phản ánh sự tiếp tục các mô hình hoạt động đã được thiết lập của MuddyWater, củng cố sự hiện diện dai dẳng của nhóm này trên khắp khu vực META (Trung Đông, Thổ Nhĩ Kỳ và Châu Phi).

Các tác nhân lây nhiễm và chuỗi tấn công

Chiến dịch này sử dụng phương pháp xâm nhập quen thuộc, tương tự như các hoạt động trước đây của MuddyWater. Việc truy cập ban đầu thường bắt đầu bằng các email lừa đảo có chứa tệp đính kèm độc hại từ Microsoft Office. Các tài liệu này nhúng mã macro được thiết kế để giải mã và thực thi các phần mềm độc hại trên hệ thống của nạn nhân, cuối cùng cho phép kẻ tấn công điều khiển từ xa.

Đã ghi nhận một số biến thể tấn công khác nhau:

• Một tài liệu Microsoft Excel độc hại yêu cầu nạn nhân bật macro, từ đó kích hoạt việc triển khai phần mềm cửa hậu CHAR dựa trên ngôn ngữ Rust.
• Một biến thể liên quan cung cấp trình tải xuống GhostFetch, sau đó cài đặt phần mềm gián điệp GhostBackDoor.
• Chuỗi lây nhiễm thứ ba sử dụng các chiêu trò câu khách như vé máy bay hoặc báo cáo hoạt động, thay vì giả mạo một công ty dịch vụ năng lượng và hàng hải Trung Đông, để phát tán trình tải xuống HTTP_VIP. Biến thể này cuối cùng cài đặt ứng dụng máy tính từ xa AnyDesk để truy cập liên tục.

Ngoài ra, nhóm này còn được phát hiện đang khai thác các lỗ hổng bảo mật mới được phát hiện trên các máy chủ kết nối internet để giành quyền truy cập ban đầu vào các môi trường mục tiêu.

Kho vũ khí phần mềm độc hại: Công cụ tùy chỉnh và phần mềm cấy ghép dạng mô-đun

Chiến dịch Olalampo dựa trên một hệ sinh thái phần mềm độc hại có cấu trúc, nhiều giai đoạn, được thiết kế để trinh sát, duy trì hoạt động và điều khiển từ xa. Các công cụ chính được xác định trong chiến dịch này bao gồm:

GhostFetch – Một trình tải xuống giai đoạn đầu tiên lập hồ sơ các hệ thống bị xâm nhập bằng cách xác thực chuyển động chuột và độ phân giải màn hình, phát hiện các công cụ gỡ lỗi, xác định các thành phần máy ảo và kiểm tra phần mềm chống virus. Nó truy xuất và thực thi các payload thứ cấp trực tiếp trong bộ nhớ.

GhostBackDoor – Một phần mềm độc hại giai đoạn hai được cài đặt bởi GhostFetch. Nó cho phép truy cập shell tương tác, thực hiện các thao tác đọc/ghi tệp và có thể khởi động lại GhostFetch.

HTTP_VIP – Một trình tải xuống gốc thực hiện trinh sát hệ thống và kết nối với tên miền bên ngoài "codefusiontech(dot)org" để xác thực. Nó triển khai AnyDesk từ máy chủ điều khiển (C2). Phiên bản mới hơn nâng cao chức năng với việc thu thập dữ liệu nạn nhân, thực thi shell tương tác, truyền tập tin, chụp clipboard và khoảng thời gian phát tín hiệu có thể cấu hình.

CHAR – Một phần mềm độc hại dựa trên ngôn ngữ lập trình Rust được điều khiển thông qua một bot Telegram có tên là 'Olalampo' (tên người dùng: stager_51_bot). Nó hỗ trợ điều hướng thư mục và thực thi các lệnh cmd.exe hoặc PowerShell.

Chức năng PowerShell liên kết với CHAR cho phép thực thi một máy chủ proxy ngược SOCKS5 hoặc một phần mềm cửa hậu bổ sung có tên Kalim. Nó cũng tạo điều kiện thuận lợi cho việc đánh cắp dữ liệu trình duyệt và khởi chạy các tệp thực thi có nhãn 'sh.exe' và 'gshdoc_release_X64_GUI.exe'.

Phát triển có sự hỗ trợ của AI và sự chồng chéo mã nguồn

Phân tích kỹ thuật mã nguồn của CHAR đã tiết lộ các dấu hiệu cho thấy quá trình phát triển có sự hỗ trợ của trí tuệ nhân tạo. Sự hiện diện của biểu tượng cảm xúc trong các chuỗi gỡ lỗi phù hợp với những phát hiện trước đó của Google, cho biết MuddyWater đã thử nghiệm các công cụ trí tuệ nhân tạo tạo sinh để tăng cường phát triển phần mềm độc hại, đặc biệt là khả năng truyền tệp và thực thi từ xa.

Phân tích sâu hơn cho thấy những điểm tương đồng về cấu trúc và môi trường giữa CHAR và phần mềm độc hại BlackBeard dựa trên ngôn ngữ Rust, còn được biết đến với tên gọi Archer RAT hoặc RUSTRIC, mà nhóm này đã từng triển khai chống lại các thực thể ở Trung Đông. Những điểm trùng lặp này cho thấy các quy trình phát triển chung và quá trình tinh chỉnh lặp đi lặp lại các công cụ.

Mở rộng năng lực và ý định chiến lược

MuddyWater vẫn là một tác nhân đe dọa dai dẳng và không ngừng phát triển trong khu vực META. Việc tích hợp phát triển phần mềm hỗ trợ bởi trí tuệ nhân tạo, liên tục tinh chỉnh phần mềm độc hại tùy chỉnh, khai thác các lỗ hổng bảo mật công khai và đa dạng hóa cơ sở hạ tầng C2 cho thấy cam kết lâu dài của chúng đối với việc mở rộng hoạt động.

Chiến dịch Olalampo nhấn mạnh sự tập trung liên tục của nhóm này vào các mục tiêu ở khu vực MENA và làm nổi bật sự tinh vi ngày càng tăng của khả năng xâm nhập của chúng. Các tổ chức hoạt động trong khu vực nên duy trì cảnh giác cao độ, thực thi các hạn chế vĩ mô, giám sát các liên lạc Chỉ huy và Kiểm soát (C2) đi ra ngoài và ưu tiên khắc phục lỗ hổng kịp thời để giảm thiểu rủi ro trước bối cảnh mối đe dọa đang phát triển này.