MuddyWater uderza w organizacje w regionie MENA: Operation Olalampo i nowe implanty GhostFetch/CHAR/HTTP_VIP

Wprowadzenie do problemu / definicja „luki”

MuddyWater (znany też jako Mango Sandstorm, TA450 i inne aliasy) to irańska grupa APT kojarzona z działalnością szpiegowską i długofalowym utrzymywaniem dostępu do środowisk ofiar. W najnowszej kampanii – nazwanej Operation Olalampo – celem stały się przede wszystkim organizacje i osoby w regionie MENA (Middle East & North Africa), a wektor wejścia ponownie oparto o phishing z dokumentami Office i makrami.

W skrócie

• Kampanię zaobserwowano od 26 stycznia 2026 r. i przypisano MuddyWater z wysoką pewnością.
• Wykryto cztery najważniejsze komponenty: downloader GhostFetch, backdoor GhostBackDoor, downloader HTTP_VIP oraz rustowy backdoor CHAR.
• Warianty ataku używają przynęt (m.in. bilety lotnicze/raporty) i w jednym z torów kończą się instalacją AnyDesk do zdalnej kontroli.
• Badacze wskazują ślady użycia narzędzi generatywnej AI przy tworzeniu malware (np. nietypowe artefakty w ciągach debug).
• Campaign intelligence z Group-IB opisuje także C2 przez bota Telegram, co ujawniło fragmenty działań post-exploitation.

Kontekst / historia / powiązania

MuddyWater od lat bazuje na kombinacji: spear-phishingu, nadużywania zaufanych narzędzi administracyjnych (RMM), komponentów modułowych oraz „living-off-the-land”. Zależnie od kampanii grupa potrafi też wykorzystywać podatności w systemach wystawionych do internetu (np. SharePoint/Exchange) jako alternatywny initial access.

W ostatnich miesiącach obserwowano u MuddyWater wyraźną „modernizację” arsenału: od nowych backdoorów i loaderów po coraz częstsze wątki Rust w implantach. Przykładowo opisywano kampanie z rustowym implantem (RustyWater) i spear-phishingiem jako punktem wejścia.
Jednocześnie ESET (opisywane przez Help Net Security) pokazywał, iż MuddyWater potrafi kreatywnie maskować loader (np. motyw gry Snake) i rozszerzać zestaw kradzieży poświadczeń po kompromitacji.

Analiza techniczna / szczegóły kampanii i narzędzi

1. Łańcuch infekcji (kill chain) – wspólny rdzeń

Warianty z Operation Olalampo łączy powtarzalny schemat:

1. Phishing email → 2) Załącznik Office (Word/Excel) → 3) Skłonienie do “Enable Macros” → 4) Makro dekoduje payload i uruchamia komponenty zapewniające zdalną kontrolę / pobieranie kolejnych etapów.

To klasyczny dla MuddyWater wzorzec, spójny z wcześniejszymi obserwacjami, gdzie nacisk kładziono na socjotechnikę i etapowe „dowożenie” funkcji.

2. GhostFetch (1st-stage downloader)

GhostFetch pełni rolę pierwszego stopnia i jest nastawiony na:

• profilowanie hosta,
• proste testy „czy to człowiek” (np. walidacja ruchu myszą),
• kontrolę rozdzielczości ekranu,
• wykrywanie debuggerów/VM/artefaktów analizy oraz rozpoznanie AV,
• pobieranie i wykonywanie kolejnych ładunków w pamięci.

To ważne: in-memory execution utrudnia klasyczne wykrycia oparte wyłącznie o artefakty na dysku.

3. GhostBackDoor (2nd-stage backdoor)

GhostBackDoor (dostarczany przez GhostFetch) zapewnia:

• interaktywną powłokę (shell),
• operacje odczytu/zapisu plików,
• możliwość ponownego uruchomienia GhostFetch (czyli „pętla” do rekonfiguracji i aktualizacji łańcucha).

4. HTTP_VIP (native downloader + tor z AnyDesk)

HTTP_VIP to natywny downloader, który:

• robi rekonesans systemu,
• łączy się z infrastrukturą C2 (w publicznych opisach pada m.in. domena codefusiontech[.]org),
• uwierzytelnia się i może pobierać/uruchamiać narzędzia (w tym AnyDesk z serwera C2).

W nowszym wariancie HTTP_VIP dodano też funkcje bardziej „backdoorowe”: zbieranie informacji o ofierze, interaktywny shell, transfer plików, zrzut schowka i zmianę interwału beaconingu.

W praktyce oznacza to, iż komponent zaczyna przypominać hybrydę: downloader + lekki agent zdalnej kontroli.

5. CHAR (backdoor w Rust)

CHAR to backdoor napisany w Rust, zidentyfikowany jako element tej samej kampanii. Badacze zwracają uwagę na artefakty sugerujące AI-assisted development (np. nietypowe elementy w stringach debug), co wpisuje się w szerszy trend „przyspieszania” developmentu malware przez aktorów państwowych i quasi-państwowych.

6. Telegram jako kanał C2 (wątek operacyjny)

Wgląd w aktywność C2 przez bota Telegram pozwolił badaczom podejrzeć część działań post-exploitation: uruchamiane komendy, dogrywane narzędzia i techniki zbierania danych. To cenna informacja dla defensywy, bo pomaga odtworzyć zachowanie operatora, nie tylko binarki.

Praktyczne konsekwencje / ryzyko

Największe ryzyka dla organizacji (szczególnie MENA, ale TTP są „przenośne” geograficznie):

• Szybkie uzyskanie zdalnej kontroli (shell/transfer plików/RMM typu AnyDesk).
• Trudniejsza detekcja dzięki elementom anty-analizy, walidacji użytkownika i wykonywaniu w pamięci (GhostFetch).
• Ryzyko kradzieży danych uwierzytelniających i rozbudowy dostępu w sieci (wpisuje się w znane zachowania MuddyWater; w innych kampaniach widziano moduły nastawione na credential theft).
• Zwiększona „zwinność” operatorów: gdy 1st stage potrafi dociągać kolejne payloady, kampania może zmieniać cel i funkcje bez ponownego „dowożenia” maila.

Rekomendacje operacyjne / co zrobić teraz

Dla SOC / Threat Hunting

• Poluj na drzewo procesów: EXCEL.EXE/WINWORD.EXE → nietypowe uruchomienia skryptów/loaderów → połączenia sieciowe do nowych domen / nietypowe beacony. (Makra jako trigger).
• Monitoruj instalację i użycie AnyDesk w środowisku: świeże instalacje, uruchomienia z nietypowych ścieżek, połączenia wychodzące niespójne z polityką IT.
• Szukaj oznak in-memory execution (telemetria EDR: anomalie w mapowaniach pamięci, nietypowe regiony wykonywalne, procesy Office inicjujące podejrzane wątki).
• Rozważ reguły detekcji dla ruchu do wskazanej infrastruktury (np. codefusiontech[.]org), z uwzględnieniem, iż domeny mogą rotować.

Dla IT / Security Engineering

• Domyślnie blokuj makra w dokumentach z internetu (lub wymuś podpisywanie makr i allowlisting). To przez cały czas najważniejszy punkt zapalny w tym łańcuchu.
• Ogranicz możliwość uruchamiania zdalnych narzędzi administracyjnych (RMM) do zatwierdzonych przypadków; w innych kampaniach MuddyWater nadużywał legalnych narzędzi do zdalnego zarządzania.
• Wdroż policyjne „guardrails” dla PowerShell (Constrained Language Mode tam, gdzie realne; logging: Script Block + Module; AMSI), bo MuddyWater historycznie często „dogrywa” działania skryptami i LOLBins.

Dla IR / incident response

• Jeśli podejrzewasz kompromitację: izoluj host, zabezpiecz obrazy pamięci (ważne przy in-memory), zbierz artefakty Office (załączniki, strefa Mark-of-the-Web), przeanalizuj historię uruchomień AnyDesk i nietypowe wpisy trwałości.

Różnice / porównania z innymi przypadkami

• Operation Olalampo vs. wcześniejsze backdoory/łańcuchy: tu mocno wybija się zestaw 1st-stage/2nd-stage (GhostFetch → GhostBackDoor) oraz tor HTTP_VIP kończący się AnyDesk, co jest pragmatyczne: szybki zdalny dostęp bez pisania wszystkiego od zera.
• Ewolucja ku Rust: CHAR (Olalampo) wpisuje się w szerszy trend, gdzie MuddyWater i inne grupy sięgają po Rust dla bardziej „inżynieryjnych”, modularnych implantów. W styczniu 2026 opisywano również kampanię z rustowym implantem (RustyWater) dowożonym spear-phishingiem.
• Kreatywne techniki obrony przed analizą: ESET opisywał loader (Fooder) maskowany motywem „Snake” oraz nietypowe podejście do opóźnień i kryptografii – co sugeruje, iż MuddyWater testuje sposoby na utrudnianie sandboxingu i automatycznej analizy.

Podsumowanie / najważniejsze wnioski

Operation Olalampo pokazuje MuddyWater w formie „produkcyjnej”: sprawdzony phishing + dokumenty Office, ale z coraz lepszym doskonaleniem pierwszych etapów (profilowanie, anty-analiza, in-memory) oraz wygodnym dowożeniem zdalnej kontroli (AnyDesk) i modułowych backdoorów (GhostBackDoor, CHAR). Dla obrony najważniejsze jest domknięcie „okna makr”, konsekwentny monitoring narzędzi zdalnego dostępu oraz polowanie na anomalie zachowania procesów Office i nietypową telemetrię pamięci.

Źródła / bibliografia

1. The Hacker News – opis kampanii i komponentów (GhostFetch, GhostBackDoor, HTTP_VIP, CHAR, AnyDesk) (The Hacker News)
2. Group-IB – pełna analiza Operation Olalampo, Telegram C2, odkrycia techniczne (Group-IB)
3. Help Net Security (na bazie ESET) – kontekst ewolucji narzędzi MuddyWater, loader Fooder/MuddyViper, RMM (Help Net Security)
4. Kudelski Security Research – TTP MuddyWater, kontekst initial access (phishing + exploity), living-off-the-land (kudelskisecurity.com)
5. CSO Online – wątek rustowych implantów i ewolucji toolingu MuddyWater (RustyWater) (CSO Online)