El grupo de piratería iraní conocido como MuddyWater (también conocido como Earth Vetala, Mango Sandstorm y MUDDYCOAST) ha atacado a varias organizaciones e individuos ubicados principalmente en la región de Medio Oriente y África del Norte (MENA) como parte de una nueva campaña con el nombre en código Operación Olalampo.
La actividad, observada por primera vez el 26 de enero de 2026, resultó en la implementación de nuevas familias de malware que comparten muestras superpuestas previamente identificadas como utilizadas por el actor de amenazas, según un informe publicado por Group-IB. Estos incluyen descargadores como GhostFetch y HTTP_VIP, junto con una puerta trasera de Rust llamada CHAR y un implante avanzado con nombre en código GhostBackDoor que GhostFetch deja caer.
«Estos ataques siguen patrones similares y se alinean con las cadenas de destrucción observadas previamente en los ataques de MuddyWater; comenzando con un correo electrónico de phishing con un documento de Microsoft Office adjunto que contiene un código macro malicioso que decodifica la carga útil incorporada, la coloca en el sistema y la ejecuta, proporcionando al adversario control remoto del sistema», dijo la compañía. dicho.
Una de esas cadenas de ataques que emplea un documento malicioso de Microsoft Excel solicita a los usuarios que habiliten macros para activar la infección y, en última instancia, eliminar CHAR. Se ha descubierto que otra variante del mismo ataque conduce a la implementación del descargador GhostFetch, que luego descarga GhostBackDoor.
Una tercera versión del ataque aprovecha temas como boletos de avión e informes, en lugar de utilizar señuelos que imitan a una empresa de servicios marítimos y de energía en el Medio Oriente, para distribuir el descargador HTTP_VIP que posteriormente implementa el software de escritorio remoto AnyDesk.
Una breve descripción de las cuatro herramientas es la siguiente:
- Búsqueda de fantasmasun descargador de primera etapa que perfila el sistema, valida los movimientos del mouse y verifica la resolución de la pantalla, verifica la presencia de depuradores, artefactos de máquinas virtuales y software antivirus, y recupera y ejecuta cargas útiles secundarias directamente en la memoria.
- FantasmaPuerta Traserauna puerta trasera de segunda etapa entregada por GhostFetch que admite un shell interactivo, lectura/escritura de archivos y repetición de GhostFetch.
- HTTP_VIPun descargador nativo que realiza un reconocimiento del sistema, se conecta a un servidor externo («codefusiontech[.]org») para autenticar e implementar AnyDesk desde el servidor C2. Una nueva variante del malware también agrega la capacidad de recuperar información de la víctima y obtener instrucciones para iniciar un shell interactivo, descargar/cargar archivos, capturar el contenido del portapapeles y actualizar el intervalo de suspensión/baliza.
- CARBONIZARSEuna puerta trasera de Rust controlada por un bot de Telegram (cuyo nombre es «Olalampo» y nombre de usuario es «stager_51_bot») para cambiar de directorio y ejecutar un comando cmd.exe o PowerShell.
El comando PowerShell está diseñado para ejecutar un proxy inverso SOCKS5 u otra puerta trasera llamada Kalim, cargar datos robados de navegadores web y ejecutar ejecutables desconocidos denominados «sh.exe» y «gshdoc_release_X64_GUI.exe».
El análisis de Group-IB del código fuente de CHAR ha revelado signos de desarrollo asistido por inteligencia artificial (IA) debido a la presencia de emojis en las cadenas de depuración, un hallazgo que es consistente con las revelaciones de Google el año pasado de que el actor de amenazas está experimentando con herramientas de IA generativa para facilitar el desarrollo de malware personalizado para soportar la transferencia de archivos y la ejecución remota.
Otro aspecto notable es que CHAR comparte una estructura y un entorno de desarrollo similares al malware basado en Rust BlackBeard (también conocido como Archer RAT y RUSTRIC), que CloudSEK y Seqrite Labs señalaron como utilizado por el actor de amenazas para apuntar a varias entidades en el Medio Oriente.
También se ha observado que MuddyWater explota vulnerabilidades reveladas recientemente en servidores públicos como una forma de obtener acceso inicial a las redes de destino.
«El grupo MuddyWater APT sigue siendo una amenaza activa dentro de META [Middle East, Turkey, and Africa] región, y esta operación está dirigida principalmente a organizaciones en la región MENA», concluyó Group-IB. «La adopción continua de tecnología de inteligencia artificial por parte del grupo, combinada con el desarrollo continuo de malware y herramientas personalizados e infraestructuras diversificadas de comando y control (C2), subraya su dedicación e intención de expandir sus operaciones».
