Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Erweiterte, anhaltende Bedrohung (APT) Operation Olalampo Angriffskampagne

Operation Olalampo Angriffskampagne

Von Mezo in Erweiterte, anhaltende Bedrohung (APT), Malware
Übersetzen Sie in:

Die iranische, staatsnahe Terrorgruppe MuddyWater, die auch unter den Namen Earth Vetala, Mango Sandstorm und MUDDYCOAST bekannt ist, hat eine neue Cyberkampagne mit dem Namen Operation Olalampo gestartet. Die Operation zielt vor allem auf Organisationen und Einzelpersonen in der MENA-Region (Naher Osten und Nordafrika) ab.

Die Kampagne, die erstmals am 26. Januar 2026 entdeckt wurde, führt mehrere neue Malware-Familien ein und verwendet dabei Komponenten, die zuvor mit der Gruppe in Verbindung gebracht wurden. Sicherheitsforscher berichten, dass die Aktivitäten die etablierten Vorgehensweisen von MuddyWater fortsetzen und deren anhaltende Präsenz in der META-Region (Naher Osten, Türkei und Afrika) festigen.

Infektionsvektoren und Angriffsketten

Die Kampagne folgt einer bekannten Angriffsmethode, die bereits bei früheren Operationen von MuddyWater zum Einsatz kam. Der erste Zugriff erfolgt typischerweise über Spear-Phishing-E-Mails mit schädlichen Microsoft Office-Anhängen. Diese Dokumente enthalten Makrocode, der Schadsoftware auf dem System des Opfers dekodiert und ausführt und den Angreifern so die Fernsteuerung ermöglicht.

Es wurden mehrere Angriffsvarianten beobachtet:

  • Ein bösartiges Microsoft Excel-Dokument fordert die Opfer auf, Makros zu aktivieren, wodurch die Bereitstellung der auf Rust basierenden Backdoor CHAR ausgelöst wird.
  • Eine verwandte Variante liefert den GhostFetch-Downloader, der anschließend das GhostBackDoor-Implantat installiert.
  • Eine dritte Infektionskette nutzt thematisch passende Köder wie Flugtickets oder Betriebsberichte, anstatt sich als Energie- und Schifffahrtsunternehmen aus dem Nahen Osten auszugeben, um den HTTP_VIP-Downloader zu verbreiten. Diese Variante installiert schließlich die Remote-Desktop-Anwendung AnyDesk für dauerhaften Zugriff.

Darüber hinaus wurde beobachtet, wie die Gruppe neu entdeckte Sicherheitslücken in mit dem Internet verbundenen Servern ausnutzte, um sich ersten Zugang zu den Zielumgebungen zu verschaffen.

Malware-Arsenal: Maßgeschneiderte Werkzeuge und modulare Implantate

Die Operation Olalampo basiert auf einem strukturierten, mehrstufigen Malware-Ökosystem, das für Aufklärung, Persistenz und Fernsteuerung konzipiert ist. Zu den wichtigsten in dieser Kampagne identifizierten Werkzeugen gehören:

GhostFetch ist ein Downloader der ersten Stufe, der kompromittierte Systeme analysiert, indem er Mausbewegungen und Bildschirmauflösung überprüft, Debugging-Tools erkennt, Spuren virtueller Maschinen identifiziert und nach Antivirensoftware sucht. Anschließend lädt und führt er sekundäre Schadsoftware direkt im Arbeitsspeicher aus.

GhostBackDoor – Ein von GhostFetch bereitgestelltes Implantat der zweiten Stufe. Es ermöglicht den interaktiven Shell-Zugriff, Dateilese-/Schreibvorgänge und kann GhostFetch neu starten.

HTTP_VIP – Ein nativer Downloader, der Systemaufklärung durchführt und sich zur Authentifizierung mit der externen Domain „codefusiontech.org“ verbindet. Er startet AnyDesk von einem Command-and-Control-Server (C2). Eine neuere Version erweitert den Funktionsumfang um die Erfassung von Opferdaten, interaktive Shell-Ausführung, Dateiübertragungen, das Abfangen von Zwischenablagen und konfigurierbare Beaconing-Intervalle.

CHAR – Eine in Rust geschriebene Backdoor, die über einen Telegram-Bot mit dem Namen „Olalampo“ (Benutzername: stager_51_bot) gesteuert wird. Sie unterstützt die Verzeichnisnavigation und die Ausführung von cmd.exe- oder PowerShell-Befehlen.

Die mit CHAR verknüpfte PowerShell-Funktionalität ermöglicht die Ausführung eines SOCKS5-Reverse-Proxys oder einer zusätzlichen Backdoor namens Kalim. Sie erleichtert außerdem die Exfiltration von Browserdaten und startet ausführbare Dateien mit den Bezeichnungen „sh.exe“ und „gshdoc_release_X64_GUI.exe“.

KI-gestützte Entwicklung und Codeüberschneidung

Die technische Analyse des Quellcodes von CHAR ergab Hinweise auf eine KI-gestützte Entwicklung. Das Vorhandensein von Emojis in Debug-Strings deckt sich mit früheren Erkenntnissen von Google, wonach MuddyWater mit generativen KI-Tools experimentiert, um die Malware-Entwicklung, insbesondere für Dateiübertragung und Remote-Ausführung, zu verbessern.

Weitere Analysen zeigen strukturelle und umweltbedingte Ähnlichkeiten zwischen CHAR und der Rust-basierten Malware BlackBeard, auch bekannt als Archer RAT oder RUSTRIC, die die Gruppe zuvor gegen Ziele im Nahen Osten eingesetzt hatte. Diese Überschneidungen deuten auf gemeinsame Entwicklungsprozesse und eine iterative Weiterentwicklung der Werkzeuge hin.

Erweiterung der Fähigkeiten und strategische Ausrichtung

MuddyWater bleibt ein hartnäckiger und sich stetig weiterentwickelnder Bedrohungsakteur in der META-Region. Die Integration KI-gestützter Entwicklung, die kontinuierliche Optimierung maßgeschneiderter Malware, die Ausnutzung öffentlich zugänglicher Sicherheitslücken und die Diversifizierung der C2-Infrastruktur belegen gemeinsam das langfristige Engagement für die operative Expansion.

Die Operation Olalampo unterstreicht den anhaltenden Fokus der Gruppe auf Ziele in der MENA-Region und verdeutlicht die zunehmende Raffinesse ihrer Angriffsfähigkeiten. Organisationen, die in der Region tätig sind, sollten erhöhte Wachsamkeit walten lassen, Makrobeschränkungen durchsetzen, ausgehende Führungs- und Kontrollkommunikation (C2) überwachen und die zeitnahe Behebung von Sicherheitslücken priorisieren, um die Anfälligkeit gegenüber dieser sich ständig weiterentwickelnden Bedrohungslandschaft zu minimieren.

Im Trend

Am häufigsten gesehen

Wird geladen...