El grupo de hackers iraní conocido como MuddyWater (también conocido como Earth Vetala, Mango Sandstorm y MUDDYCOAST) atacó a múltiples organizaciones e individuos principalmente con sede en la región de Medio Oriente y África del Norte (MENA) como parte de una nueva campaña con el nombre en código Operación Olalampo.
Según un informe publicado por Group-IB, esta actividad se observó por primera vez el 26 de enero de 2026 y resultó en la implementación de una nueva familia de malware que comparte muestras superpuestas previamente identificadas como utilizadas por actores de amenazas. Estos incluyen descargadores como GhostFetch y HTTP_VIP, así como una puerta trasera de Rust llamada CHAR, y un implante avanzado lanzado por GhostFetch con nombre en código GhostBackDoor.
«Estos ataques siguen un patrón similar y son consistentes con la cadena de destrucción observada previamente en el ataque MuddyWater. Comienzan con un correo electrónico de phishing adjunto con un documento de Microsoft Office que contiene un código macro malicioso que decodifica la carga útil incorporada y la coloca en el sistema para su ejecución, proporcionando al atacante control remoto del sistema», dijo la compañía.
Una de esas cadenas de ataques utiliza un documento malicioso de Microsoft Excel que solicita al usuario que habilite macros para activar la infección y, en última instancia, eliminar el CHAR. Se ha descubierto que otra variante del mismo ataque conduce a la implementación del descargador GhostFetch, que descarga GhostBackDoor.
La tercera versión del ataque aprovecha temas como billetes de avión e informes para distribuir un descargador HTTP_VIP que implementa el software de escritorio remoto AnyDesk, en lugar de utilizar un señuelo que imita a una empresa de servicios marítimos y de energía de Oriente Medio.
A continuación se ofrece una breve descripción de las cuatro herramientas:
GhostFetch es un descargador de primera etapa que perfila el sistema, verifica los movimientos del mouse, verifica la resolución de la pantalla, verifica la presencia de depuradores, artefactos de máquinas virtuales y software antivirus, y recupera y ejecuta cargas útiles secundarias directamente en la memoria. GhostBackDoor es una puerta trasera de segunda etapa proporcionada por GhostFetch que admite un shell interactivo, lectura/escritura de archivos y repetición de GhostFetch. HTTP_VIP, el descargador nativo que realiza reconocimiento del sistema, se conecta a un servidor externo (‘codefusiontech(.)org’) para autenticar e implementar AnyDesk desde el servidor C2. Las variantes más nuevas de este malware también agregan la capacidad de obtener información de la víctima e instrucciones para iniciar un shell interactivo, descargar/cargar archivos, capturar el contenido del portapapeles, actualizar el intervalo de suspensión/baliza, etc. CHAR es una puerta trasera de Rust controlada por un bot de Telegram (llamado «Olalampo», nombre de usuario «stager_51_bot») que cambia de directorio y ejecuta comandos cmd.exe o PowerShell.
Los comandos de PowerShell están diseñados para ejecutar un proxy inverso SOCKS5 u otra puerta trasera llamada Kalim, cargar datos robados de navegadores web y ejecutar ejecutables desconocidos llamados «sh.exe» y «gshdoc_release_X64_GUI.exe».
El análisis de Group-IB del código fuente de CHAR reveló signos de desarrollo asistido por inteligencia artificial (IA) debido a la inclusión de emojis en la cadena de depuración. Esto es consistente con las revelaciones de Google el año pasado de que los actores de amenazas estaban experimentando con herramientas de inteligencia artificial generativa para respaldar el desarrollo de malware personalizado que admita la transferencia de archivos y la ejecución remota.
Otra cosa a tener en cuenta es que CHAR es similar en estructura y entorno de desarrollo al malware basado en Rust BlackBeard (también conocido como Archer RAT y RUSTRIC). CloudSEK y Seqrite Labs informaron que BlackBeard es utilizado por actores de amenazas para atacar a varias organizaciones en el Medio Oriente.
También se ha observado que MuddyWater explota vulnerabilidades reveladas recientemente en servidores públicos como una forma de obtener acceso inicial a las redes de destino.
«El grupo MuddyWater APT sigue siendo una amenaza activa dentro de la región META, y esta operación apunta principalmente a organizaciones en la región MENA», concluyó Group-IB. «La adopción continua por parte del grupo de tecnología de inteligencia artificial, el desarrollo de herramientas y malware personalizados y la infraestructura diversificada de comando y control (C2) subraya su dedicación e intención de escalar sus operaciones».
Source link
