Campagne d'attaque de l'opération Olalampo
Le groupe terroriste iranien MuddyWater, également connu sous les noms d'Earth Vetala, Mango Sandstorm et MUDDYCOAST, a lancé une nouvelle cyberattaque baptisée Opération Olalampo. Cette opération cible principalement des organisations et des individus au Moyen-Orient et en Afrique du Nord (MENA).
Détectée pour la première fois le 26 janvier 2026, cette campagne introduit plusieurs nouvelles familles de logiciels malveillants tout en réutilisant des composants précédemment associés au groupe. Les chercheurs en sécurité indiquent que cette activité s'inscrit dans la continuité des modes opératoires habituels de MuddyWater, renforçant ainsi sa présence persistante dans la région META (Moyen-Orient, Turquie et Afrique).
Table des matières
Vecteurs d’infection et chaînes d’attaque
La campagne suit une méthodologie d'intrusion bien connue, similaire à celle des précédentes opérations de MuddyWater. L'accès initial se fait généralement par le biais de courriels d'hameçonnage ciblés contenant des pièces jointes Microsoft Office malveillantes. Ces documents intègrent du code macro conçu pour décoder et exécuter des charges utiles sur le système de la victime, permettant ainsi aux attaquants d'en prendre le contrôle à distance.
Plusieurs variantes d'attaque ont été observées :
- Un document Microsoft Excel malveillant incite les victimes à activer les macros, déclenchant ainsi le déploiement de la porte dérobée CHAR basée sur Rust.
- Une variante similaire fournit le programme de téléchargement GhostFetch, qui installe ensuite l'implant GhostBackDoor.
- Une troisième chaîne d'infection utilise des leurres thématiques, tels que des billets d'avion ou des rapports opérationnels, plutôt que d'usurper l'identité d'une entreprise du Moyen-Orient spécialisée dans l'énergie et les services maritimes, pour diffuser le programme de téléchargement HTTP_VIP. Cette variante installe finalement l'application de bureau à distance AnyDesk pour un accès permanent.
De plus, il a été observé que le groupe exploitait des vulnérabilités récemment découvertes dans des serveurs exposés à Internet pour obtenir un accès initial aux environnements ciblés.
Arsenal de logiciels malveillants : outils personnalisés et implants modulaires
L'opération Olalampo repose sur un écosystème de logiciels malveillants structuré et multi-étapes, conçu pour la reconnaissance, la persistance et le contrôle à distance. Les principaux outils identifiés dans cette campagne sont les suivants :
GhostFetch est un téléchargeur de première étape qui analyse les systèmes compromis en validant les mouvements de la souris et la résolution de l'écran, en détectant les outils de débogage, en identifiant les artefacts de machines virtuelles et en vérifiant la présence d'un antivirus. Il récupère et exécute des charges utiles secondaires directement en mémoire.
GhostBackDoor – Un implant de deuxième niveau fourni par GhostFetch. Il permet un accès interactif au shell, des opérations de lecture/écriture de fichiers et peut relancer GhostFetch.
HTTP_VIP est un téléchargeur natif qui effectue une reconnaissance système et se connecte au domaine externe « codefusiontech.org » pour authentification. Il déploie AnyDesk depuis un serveur de commande et de contrôle (C2). Une version plus récente offre des fonctionnalités améliorées : collecte de données sur la victime, exécution de commandes shell interactives, transferts de fichiers, capture du presse-papiers et intervalles de balisage configurables.
CHAR – Une porte dérobée basée sur Rust et contrôlée par un bot Telegram nommé « Olalampo » (nom d’utilisateur : stager_51_bot). Elle permet la navigation dans les répertoires et l’exécution de commandes cmd.exe ou PowerShell.
La fonctionnalité PowerShell associée à CHAR permet l'exécution d'un proxy inverse SOCKS5 ou d'une porte dérobée supplémentaire nommée Kalim. Elle facilite également l'exfiltration des données du navigateur et lance des exécutables nommés « sh.exe » et « gshdoc_release_X64_GUI.exe ».
Développement assisté par l’IA et chevauchement de code
L'analyse technique du code source de CHAR a révélé des indices de développement assisté par intelligence artificielle. La présence d'émojis dans les chaînes de débogage corrobore les conclusions antérieures de Google, qui a indiqué que MuddyWater expérimentait des outils d'IA générative pour améliorer le développement de logiciels malveillants, notamment pour le transfert de fichiers et l'exécution à distance.
Une analyse plus approfondie révèle des similitudes structurelles et environnementales entre CHAR et le logiciel malveillant BlackBeard, basé sur Rust, également connu sous le nom d'Archer RAT ou RUSTRIC, précédemment déployé par le groupe contre des entités du Moyen-Orient. Ces recoupements suggèrent des processus de développement communs et un perfectionnement itératif des outils.
Développement des capacités et intention stratégique
MuddyWater demeure un acteur de menace persistant et en constante évolution dans la région META. L'intégration du développement assisté par l'IA, le perfectionnement continu de logiciels malveillants sur mesure, l'exploitation de vulnérabilités publiques et la diversification de son infrastructure de commande et de contrôle témoignent collectivement d'un engagement à long terme en faveur de son expansion opérationnelle.
L'opération Olalampo souligne l'intérêt constant du groupe pour les cibles basées au Moyen-Orient et en Afrique du Nord et met en évidence la sophistication croissante de ses capacités d'intrusion. Les organisations opérant dans la région doivent maintenir une vigilance accrue, appliquer des restrictions de macro-accès, surveiller les communications sortantes des systèmes de commandement et de contrôle (C2) et prioriser la correction rapide des vulnérabilités afin de limiter leur exposition à ce paysage de menaces en constante évolution.
