La campagna di cyber attacchi attribuita al gruppo MuddyWater sta colpendo organizzazioni e singoli utenti nell’area MENA (Medio Oriente e Nord Africa) attraverso una nuova operazione identificata come Operation Olalampo, osservata a partire dal 26 gennaio 2026. Il focus degli attaccanti è ottenere accesso remoto ai sistemi bersaglio e mantenere persistenza usando una catena di infezione basata su phishing e malware modulare.

Il punto di ingresso più comune è una email di phishing con allegato un documento Microsoft Office (spesso Excel) che spinge la vittima ad abilitare le macro. Una volta attivate, le macro eseguono codice malevolo che decodifica un payload incorporato, lo rilascia sul sistema e lo avvia. Questo schema ricalca una kill chain già vista in altre operazioni del gruppo con una prima fase di consegna e una seconda fase dedicata al controllo remoto e al download di componenti aggiuntivi.

Tra gli strumenti osservati spicca GhostFetch, un downloader di primo stadio progettato per profilare la macchina e ridurre la probabilità di analisi. Effettua controlli su movimenti del mouse, risoluzione dello schermo, presenza di debugger, indicatori di virtual machine e soluzioni antivirus. Se l’ambiente supera i controlli, GhostFetch scarica ed esegue payload successivi direttamente in memoria, aumentando la difficoltà di rilevamento.

Il secondo stadio include GhostBackDoor, un backdoor che abilita shell interattiva, operazioni di lettura e scrittura su file e la possibilità di rilanciare GhostFetch per aggiornare o cambiare moduli. In parallelo è stato visto HTTP_VIP, un downloader nativo che svolge ricognizione del sistema e comunica con un server esterno per autenticarsi e distribuire AnyDesk come software di accesso remoto. Varianti più recenti di HTTP_VIP ampliano le funzioni con raccolta di informazioni sulla vittima, istruzioni per shell interattiva, upload e download di file, acquisizione dei contenuti degli appunti e modifica degli intervalli di beaconing.

Un altro componente chiave è CHAR, un backdoor sviluppato in Rust controllato tramite un bot Telegram e in grado di cambiare directory ed eseguire comandi cmd.exe o PowerShell. Alcuni comandi PowerShell risultano orientati all’avvio di un proxy SOCKS5 reverse, al rilascio di ulteriori backdoor e all’esfiltrazione di dati dai browser. Analisi del codice suggeriscono anche tracce di sviluppo assistito da AI, elemento coerente con la tendenza degli attori APT a velocizzare la creazione di malware personalizzato.

Oltre al phishing, MuddyWater risulta attivo anche nello sfruttamento di vulnerabilità su server esposti pubblicamente per ottenere accesso iniziale alle reti, ampliando la superficie di attacco per le organizzazioni della regione.