كشفت تقارير أمنية سيبرانية عن حملة تجسس جديدة أطلقها الفريق الإيراني MuddyWater، المعروف أيضاً بأسماء أخرى مثل Earth Vetala وMango Sandstorm، تستهدف مؤسسات وأفراداً في منطقة الشرق الأوسط وشمال أفريقيا.
تم رصد هذه الأنشطة التي تحمل اسم “Operation Olalampo” لأول مرة في 26 يناير 2026، وشملت نشر عائلات برمجيات خبيثة جديدة تتشارك عينات تم التعرف عليها سابقاً لدى هذا الفريق، بما في ذلك أدوات تنزيل مثل GhostFetch و HTTP_VIP، بالإضافة إلى باب خلفي مكتوب بلغة Rust يسمى CHAR، وعميل تجسس متقدم تحت اسم GhostBackDoor.
حملة MuddyWater الجديدة
تتبع هذه الهجمات أنماطاً مشابهة لتلك التي لوحظت في هجمات MuddyWater السابقة؛ تبدأ برسالة بريد إلكتروني تصيدية تحتوي على مرفق من نوع Microsoft Office يتضمن شفرة ماكرو خبيثة تقوم بفك تشفير الحمولة المضمنة وإفلاتها على النظام، مما يمنح المهاجم سيطرة عن بعد.
في إحدى سلاسل الهجوم، يتم استخدام مستند Microsoft Excel خبيث يطلب من المستخدمين تمكين وحدات الماكرو لتفعيل العدوى، وفي النهاية لإنزال برنامج CHAR. وقد تم اكتشاف متغير آخر من نفس الهجوم يؤدي إلى نشر برنامج التنزيل GhostFetch، والذي يقوم بدوره بتنزيل GhostBackDoor.
من جهة أخرى، تستغل نسخة ثالثة من الهجوم مواضيع مثل تذاكر الطيران والتقارير، بدلاً من استخدام إغراءات تحاكي شركة خدمات الطاقة والبحرية في الشرق الأوسط، لتوزيع برنامج التنزيل HTTP_VIP الذي ينشر لاحقاً برنامج AnyDesk لسطح المكتب عن بعد.
لمحة عن الأدوات المستخدمة
GhostFetch: أداة تنزيل أولية تقوم بعمل مسح للنظام، والتحقق من حركات الماوس ودقة الشاشة، والتأكد من وجود برامج تصحيح الأخطاء، وعناصر الآلات الافتراضية، وبرامج مكافحة الفيروسات، ثم تقوم بجلب وتنفيذ حمولات ثانوية مباشرة في الذاكرة.
GhostBackDoor: باب خلفي مرحلة ثانية يتم توصيله بواسطة GhostFetch، ويدعم واجهة أوامر تفاعلية، قراءة/كتابة الملفات، وإعادة تشغيل GhostFetch.
HTTP_VIP: برنامج تنزيل أصلي يقوم بإجراء استطلاع للنظام، والاتصال بخادم خارجي (“codefusiontech[.]org”) للمصادقة ونشر AnyDesk من خادم القيادة والسيطرة (C2). كما يضيف متغير جديد للبرنامج الضار القدرة على استرداد معلومات الضحية وإرشادات لبدء واجهة أوامر تفاعلية، تنزيل/رفع الملفات، التقاط محتويات الحافظة، وتحديث فاصل النوم/الإشارة.
CHAR: باب خلفي مكتوب بلغة Rust، ويتم التحكم به بواسطة بوت تليجرام (اسمه الأول “Olalampo” واسمه بالمستخدم “stager_51_bot”) لتغيير الدليل وتنفيذ أمر cmd.exe أو PowerShell.
تم تصميم أوامر PowerShell لتنفيذ وكيل عكسي SOCKS5 أو باب خلفي آخر يسمى Kalim، وتحميل البيانات المسروقة من متصفحات الويب، وتشغيل ملفات تنفيذية غير معروفة يشار إليها بـ “sh.exe” و “gshdoc_release_X64_GUI.exe”.
دور الذكاء الاصطناعي
كشفت تحليلات شفرة المصدر لبرنامج CHAR عن مؤشرات على التطوير بمساعدة الذكاء الاصطناعي، نظراً لوجود رموز تعبيرية (emojis) في سلاسل التصحيح. وهذا يتوافق مع إعلانات سابقة تفيد بأن الفريق يختبر أدوات الذكاء الاصطناعي التوليدي لدعم تطوير برمجيات خبيثة مخصصة.
جانب آخر ملحوظ هو أن CHAR يتشارك في بنية وبيئة تطوير مشابهة لبرنامج BlackBeard الضار المكتوب بلغة Rust (المعروف أيضاً باسم Archer RAT و RUSTRIC)، والذي تم رصده على أنه يستخدم لاستهداف كيانات مختلفة في الشرق الأوسط.
لوحظ أيضاً أن MuddyWater يستغل الثغرات المكتشفة حديثاً على الخوادم المواجهة للجمهور كوسيلة للحصول على وصول أولي إلى شبكات الأهداف.
خلص التقرير إلى أن فريق MuddyWater APT يظل تهديداً نشطاً في منطقة الشرق الأوسط وشمال أفريقيا، مع استهداف هذه العملية بشكل أساسي للمنظمات في منطقة الشرق الأوسط وشمال أفريقيا. إن تبني المجموعة المستمر لتقنية الذكاء الاصطناعي، جنباً إلى جنب مع التطوير المستمر للبرمجيات الخبيثة والأدوات المخصصة والبنى التحتية المتنوعة للقيادة والسيطرة، يؤكد تفانيهم ونواياهم لتوسيع عملياتهم.