Campanha Operation Olalampo combina phishing com macros, implantes em Rust, AnyDesk e infraestrutura C2 diversificada para obter controle remoto de sistemas afetados.
| Componente | Campanha Operation Olalampo atribuída ao grupo MuddyWater, com uso de GhostFetch, GhostBackDoor, HTTP_VIP, CHAR, AnyDesk e artefatos associados como Kalim. |
| Vetor | E-mails de phishing com documentos do Microsoft Office, incluindo planilhas do Excel, que induzem a ativação de macros para decodificar, gravar e acionar cargas maliciosas no sistema. |
| Impacto | Controle remoto do host, execução de comandos por comando operacional omitido ou PowerShell, download e execução de payloads em memória, transferência de arquivos, coleta de informações do navegador, captura de área de transferência e implantação de software de acesso remoto. |
| Prioridade | Restringir macros em documentos recebidos por e-mail, revisar execuções anômalas de Office para PowerShell ou comando operacional omitido, bloquear infraestrutura C2 defangada conhecida e isolar hosts com sinais de GhostFetch, HTTP_VIP, CHAR ou AnyDesk não autorizado. |
| Artefatos | GhostFetch atua como downloader de primeiro estágio; GhostBackDoor fornece shell interativo e operações de arquivo; HTTP_VIP realiza reconhecimento e contato com codefusiontech[.]org; CHAR é um backdoor em Rust controlado por bot do Telegram. |
| Alvos | Organizações e indivíduos principalmente no Oriente Médio e Norte da África, com referência mais ampla à região META, que inclui Oriente Médio, Turquia e África. |
A Operation Olalampo marca uma nova atividade associada ao MuddyWater contra organizações e indivíduos principalmente localizados no Oriente Médio e Norte da África. A campanha foi observada a partir de 26 de janeiro de 2026 e mantém características conhecidas do grupo: entrada por engenharia social, documentos do Microsoft Office com macros, decodificação de carga embutida e execução local para entregar ferramentas de controle remoto. O conjunto de malware descrito inclui os downloaders GhostFetch e HTTP_VIP, o backdoor em Rust CHAR e o implante de segundo estágio GhostBackDoor, que é entregue por GhostFetch.
O ponto técnico central é a diversificação da cadeia de infecção. Uma variante usa documento malicioso do Microsoft Excel que solicita a habilitação de macros e termina na implantação de CHAR. Outra variante usa fluxo semelhante para instalar GhostFetch, que baixa e aciona GhostBackDoor. Um terceiro caminho explora temas de isca como passagens aéreas e relatórios, além de imitações de uma empresa de serviços de energia e marítimos no Oriente Médio, para distribuir HTTP_VIP e posteriormente instalar o AnyDesk. O resultado operacional é uma combinação de persistência tática, acesso remoto, execução de comandos e capacidade de movimentar dados ou ferramentas adicionais dentro do host comprometido.
A cadeia começa com phishing direcionado e anexo do Microsoft Office. O documento malicioso depende da interação do usuário para habilitar macros; quando isso ocorre, o código de macro decodifica uma carga embutida, grava artefatos no sistema e inicia a execução. Esse padrão é consistente com operações anteriores do MuddyWater e é relevante para defesa porque deixa uma trilha de processo envolvendo aplicativo Office, criação de conteúdo no disco e acionamento de interpretadores ou binários auxiliares. O contexto não confirma uma exploração automática do Office, portanto a pré-condição principal continua sendo a execução do documento e a liberação da macro pelo usuário.
GhostFetch funciona como downloader de primeiro estágio com verificações de ambiente antes de buscar cargas posteriores. Ele coleta perfil do sistema, valida movimentos de mouse e resolução de tela, procura depuradores, artefatos de máquina virtual e presença de antivírus, e então busca payloads secundários que podem ser executados diretamente em memória. GhostBackDoor, entregue por esse estágio, oferece shell interativo, leitura e escrita de arquivos e capacidade de reexecutar GhostFetch. Esse desenho reduz a dependência de múltiplos arquivos estáticos no disco e aumenta a importância de telemetria comportamental em memória, árvore de processos e conexões de rede subsequentes.
HTTP_VIP é outro downloader nativo usado na operação. Ele realiza reconhecimento do sistema, contata um servidor externo defangado como codefusiontech[.]org, autentica a sessão e pode obter o AnyDesk a partir da infraestrutura de comando e controle. Uma variante mais nova amplia as funções para recuperar informações da vítima, receber instruções para iniciar shell interativo, baixar e enviar arquivos, capturar conteúdo da área de transferência e alterar o intervalo de repouso ou beaconing. Já CHAR é um backdoor em Rust controlado por bot do Telegram, associado ao nome Olalampo e ao usuário stager_51_bot, com capacidade de trocar diretório e acionar comandos por comando operacional omitido ou PowerShell. Há ainda menção a um comando PowerShell usado para iniciar um proxy reverso SOCKS5 ou o backdoor Kalim, enviar dados coletados de navegadores e rodar executáveis referenciados como sh.exe e gshdoc_release_X64_GUI.exe; o comando operacional foi omitido por segurança.
A superfície de risco envolve principalmente estáções de trabalho e ambientes corporativos que permitem abertura de anexos Office vindos de e-mail externo e ainda mantêm macros habilitáveis pelo usuário. Usuários que lidam com documentos de viagens, relatórios, comunicações comerciais ou arquivos supostamente relacionados a serviços de energia e marítimos aparecem como alvos plausíveis dentro do material observado. Como a atividade também inclui implantação de AnyDesk, ambientes que não controlam softwares de acesso remoto ou que permitem instalação pelo usuário elevam a chance de o acesso inicial virar controle persistente e interativo.
Além do vetor por phishing, o grupo também foi observado explorando vulnerabilidades divulgadas recentemente em servidores expostos à internet para obter acesso inicial. O contexto não específica CVEs, produtos ou versões afetadas, então a defesa não deve inferir uma falha específica a partir desta campanha. A conclusão prática é priorizar inventário de serviços públicos, aplicação de correções recentes, redução de exposição e correlação entre acessos externos incomuns e eventos posteriores em endpoints internos.
- Estáções Windows com Microsoft Office capaz de abrir documentos com macro e criar processos filhos suspeitos.
- Usuários em organizações do Oriente Médio e Norte da África, especialmente expostos a iscas de relatórios, viagens e temas corporativos regionais.
- Hosts nos quais AnyDesk aparece sem autorização administrativa, sem ticket de suporte ou fora do padrão de gerenciamento remoto da organização.
- Servidores públicos com vulnerabilidades recentes não especificadas no contexto, usados como possível caminho alternativo de acesso inicial.
A investigação deve começar por telemetria de e-mail, endpoint e identidade. No e-mail, procure anexos Office entregues a usuários em áreas sensíveis, mensagens com temas de viagem, relatório ou fornecedores regionais e documentos que gerem alerta de macro. No endpoint, a trilha mais forte é a relação entre processos do Office e execução posterior de PowerShell, comando operacional omitido, binários desconhecidos ou criação de arquivos temporários. Como algumas cargas executam conteúdo em memória, dependência exclusiva de varredura de arquivo pode não ser suficiente; eventos de AMSI, EDR, linha de processo normalizada, conexões de rede e carregamento anômalo de módulos devem ser correlacionados.
Para GhostFetch, sinais defensivos incluem enumeração de sistema seguida por checks de ambiente, como consulta de resolução de tela, movimentação de mouse, artefatos de virtualização, depuradores e produtos de segurança. Para HTTP_VIP, o contato com codefusiontech[.]org deve ser tratado como indicador defangado de rede, sem transformá-lo em link ativo, e correlacionado com download ou inicialização de AnyDesk. Para CHAR, a telemetria deve observar processos associados a binários em Rust desconhecidos, comunicação com serviços do Telegram em contexto de servidor ou estáção corporativa e acionamento de shells. O uso de bot do Telegram como controle dificulta bloqueios baseados apenas em domínio único, exigindo análise de destino, aplicação, reputação, processo de origem e política corporativa.
- Processo do Office criando PowerShell, comando operacional omitido ou executáveis recém-gravados após abertura de anexo externo.
- Instalação ou execução de AnyDesk sem janela de mudança, sem ticket ou fora de grupos autorizados.
- Conexões para
codefusiontech[.]orgou infraestrutura relacionada a partir de estáções que abriram documentos suspeitos. - Consultas de ambiente, verificações antidepuração e sinais de execução em memória próximos ao recebimento de e-mail de phishing.
- Execução de artefatos nomeados
sh.exe,gshdoc_release_X64_GUI.exe,Kalim,GhostFetch,HTTP_VIP,CHARou componentes com nomes próximos em diretórios de usuário ou temporários.
A primeira medida defensiva é reduzir a probabilidade de execução do estágio inicial. Macros de documentos vindos da internet devem ser bloqueadas por política, e exceções precisam ser documentadas, restritas e auditáveis. Gateways de e-mail devem tratar anexos Office com macro como alto risco, especialmente quando combinados com temas de viagem, relatórios ou organizações regionais. Para endpoints, políticas de controle de aplicação devem impedir que Office gere interpretadores, shells ou instaladores de acesso remoto sem justificativa administrativa. Quando houver detecção, o host deve ser isolado antes da coleta de artefatos para preservar evidência e impedir novo beaconing ou download de carga secundária.
A resposta também deve cobrir contas, rede e softwares de administração remota. AnyDesk não autorizado deve ser removido, suas sessões revisadas e os registros de instalação correlacionados com eventos de e-mail e execução de macro. Contas usadas no host afetado devem ter sessões revogadas e credenciais rotacionadas conforme o escopo de exposição, especialmente se houver indício de coleta de dados de navegadores. Em servidores públicos, a mitigação passa por inventário, correção de vulnerabilidades recentes, revisão de logs de acesso, bloqueio de caminhos administrativos expostos e validação de que a exploração não levou à instalação de ferramentas adicionais. O contexto não confirma vazamento de dados ou movimentação lateral; por isso, a investigação deve procurar esses sinais sem tratá-los como consequência já comprovada.
- Bloquear macros de documentos originados da internet e revisar exceções existentes para grupos de usuários sensíveis.
- Criar regra de detecção para Office iniciando PowerShell, comando operacional omitido, instaladores remotos ou executáveis em diretórios temporários e de perfil de usuário.
- Auditar AnyDesk e outras ferramentas de acesso remoto, permitindo apenas versões, contas e caminhos aprovados pela equipe de segurança.
- Bloquear e monitorar o indicador defangado
codefusiontech[.]orge correlacionar conexões com abertura de anexos e criação de processos. - Revisar servidores expostos à internet para correções recentes, serviços desnecessários, autenticação fraca e evidências de execução pós-exploração.
- Coletar memória, árvore de processos, artefatos de disco, histórico de navegador e logs de rede antes de limpeza completa quando houver suspeita de
GhostFetch,GhostBackDoor,HTTP_VIPouCHAR.
0 Comentários