O grupo de hackers iraniano conhecido como MuddyWater, também chamado de Earth Vetala, Mango Sandstorm e MUDDYCOAST, está conduzindo uma nova operação chamada Olalampo, visando organizações e indivíduos no Oriente Médio e Norte da África (MENA). A campanha, identificada pela primeira vez em 26 de janeiro de 2026, envolve o uso de novas famílias de malware, como GhostFetch, HTTP_VIP e CHAR, conforme relatado pela Group-IB.
Os ataques seguem padrões anteriores do MuddyWater, começando com e-mails de phishing que contêm documentos do Microsoft Office com macros maliciosas. Esses documentos, ao serem abertos, executam códigos que permitem o controle remoto dos sistemas afetados. Um dos métodos inclui documentos Excel que, ao ativar macros, instalam o malware CHAR. Outra abordagem utiliza o downloader GhostFetch, que posteriormente instala o GhostBackDoor. Além disso, temas como passagens aéreas são usados para distribuir o HTTP_VIP, que instala o software de acesso remoto AnyDesk.
- GhostFetch: Um downloader que verifica o sistema, detecta movimentos do mouse, resolução de tela e a presença de antivírus, executando cargas secundárias na memória.
- GhostBackDoor: Um backdoor que permite operações como leitura e escrita de arquivos e execução de comandos.
- HTTP_VIP: Realiza reconhecimento do sistema e conecta-se a servidores externos para autenticação e instalação do AnyDesk.
- CHAR: Um backdoor em Rust controlado por um bot do Telegram, capaz de executar comandos e transferir dados roubados.
A análise do código do CHAR revelou o uso de inteligência artificial em seu desenvolvimento, evidenciado por strings de depuração com emojis. Isso está alinhado com descobertas anteriores sobre o uso de ferramentas de IA pelo grupo para criar malwares personalizados. O CHAR compartilha semelhanças com o malware BlackBeard, também usado pelo MuddyWater para atacar entidades no Oriente Médio.
O grupo MuddyWater continua a ser uma ameaça ativa na região META, expandindo suas operações com o uso de tecnologia de IA e desenvolvimento de malwares personalizados. A exploração de vulnerabilidades em servidores públicos é uma das táticas para obter acesso inicial às redes-alvo, conforme concluiu a Group-IB.
Fonte:https://thehackernews.com/2026/02/muddywater-targets-mena-organizations.html
