Campaña de ataque de la Operación Olalampo
El grupo de amenazas MuddyWater, alineado con el estado iraní, también conocido como Earth Vetala, Mango Sandstorm y MUDDYCOAST, ha lanzado una nueva campaña cibernética denominada Operación Olalampo. La operación se ha dirigido principalmente contra organizaciones e individuos en la región de Oriente Medio y el Norte de África (MENA).
Detectada por primera vez el 26 de enero de 2026, la campaña introduce múltiples familias de malware nuevas, reutilizando componentes previamente asociados con el grupo. Los investigadores de seguridad informan que la actividad refleja la continuidad de los patrones operativos establecidos de MuddyWater, lo que refuerza su presencia persistente en la región META (Oriente Medio, Turquía y África).
Tabla de contenido
Vectores de infección y cadenas de ataque
La campaña sigue una metodología de intrusión similar a la de operaciones anteriores de MuddyWater. El acceso inicial suele comenzar con correos electrónicos de phishing selectivo que contienen archivos adjuntos maliciosos de Microsoft Office. Estos documentos incorporan código de macro diseñado para decodificar y ejecutar cargas útiles en el sistema de la víctima, otorgando así control remoto a los atacantes.
Se han observado varias variaciones de ataque:
- Un documento malicioso de Microsoft Excel solicita a las víctimas que habiliten macros, lo que desencadena la implementación de la puerta trasera CHAR basada en Rust.
- Una variante relacionada entrega el descargador GhostFetch, que posteriormente instala el implante GhostBackDoor.
- Una tercera cadena de infección utiliza señuelos temáticos, como billetes de avión o informes operativos, en lugar de hacerse pasar por una empresa de servicios energéticos y marítimos de Oriente Medio, para distribuir el descargador HTTP_VIP. Esta variante instala la aplicación de escritorio remoto AnyDesk para acceso persistente.
Además, se ha observado que el grupo explota vulnerabilidades recientemente descubiertas en servidores conectados a Internet para obtener acceso inicial a entornos específicos.
Arsenal de malware: herramientas personalizadas e implantes modulares
La Operación Olalampo se basa en un ecosistema de malware estructurado y multietapa, diseñado para el reconocimiento, la persistencia y el control remoto. Las principales herramientas identificadas en esta campaña incluyen:
GhostFetch : un descargador de primera etapa que perfila los sistemas comprometidos mediante la validación del movimiento del ratón y la resolución de la pantalla, la detección de herramientas de depuración, la identificación de artefactos en máquinas virtuales y la comprobación de software antivirus. Recupera y ejecuta cargas útiles secundarias directamente en la memoria.
GhostBackDoor : un implante de segunda etapa proporcionado por GhostFetch. Permite el acceso interactivo al shell, operaciones de lectura y escritura de archivos y puede reiniciar GhostFetch.
HTTP_VIP : un descargador nativo que realiza reconocimiento del sistema y se conecta al dominio externo "codefusiontech(punto)org" para la autenticación. Implementa AnyDesk desde un servidor de comando y control (C2). Una versión más reciente mejora la funcionalidad con la recopilación de datos de la víctima, ejecución interactiva de shell, transferencias de archivos, captura del portapapeles e intervalos de señalización configurables.
CHAR : Una puerta trasera basada en Rust, controlada por un bot de Telegram identificado como 'Olalampo' (usuario: stager_51_bot). Permite la navegación de directorios y la ejecución de comandos cmd.exe o PowerShell.
La funcionalidad de PowerShell asociada a CHAR permite la ejecución de un proxy inverso SOCKS5 o una puerta trasera adicional llamada Kalim. También facilita la exfiltración de datos del navegador e inicia los ejecutables "sh.exe" y "gshdoc_release_X64_GUI.exe".
Desarrollo asistido por IA y superposición de código
El análisis técnico del código fuente de CHAR reveló indicadores de desarrollo asistido por inteligencia artificial. La presencia de emojis en las cadenas de depuración coincide con hallazgos previos de Google, que informó que MuddyWater ha estado experimentando con herramientas de IA generativa para optimizar el desarrollo de malware, en particular para la transferencia de archivos y la ejecución remota.
Análisis posteriores muestran similitudes estructurales y ambientales entre CHAR y el malware BlackBeard, basado en Rust, también conocido como Archer RAT o RUSTRIC, previamente implementado por el grupo contra entidades de Oriente Medio. Estas coincidencias sugieren procesos de desarrollo compartidos y un perfeccionamiento iterativo de las herramientas.
Ampliación de capacidades e intención estratégica
MuddyWater sigue siendo un actor de amenazas persistente y en constante evolución en la región META. La integración del desarrollo asistido por IA, el perfeccionamiento continuo de malware a medida, la explotación de vulnerabilidades públicas y la diversificación de la infraestructura C2 demuestran, en conjunto, un compromiso a largo plazo con la expansión operativa.
La Operación Olalampo subraya el enfoque constante del grupo en objetivos ubicados en MENA y destaca la creciente sofisticación de sus capacidades de intrusión. Las organizaciones que operan en la región deben mantener una vigilancia reforzada, aplicar restricciones macro, monitorear las comunicaciones salientes de Comando y Control (C2) y priorizar la remediación oportuna de vulnerabilidades para mitigar la exposición a este panorama de amenazas en constante evolución.
