Descrizione
CSIRT Umbria, nell’esercizio delle sue funzioni, è venuto a conoscenza dell'Operation Olalampo, una campagna offensiva attribuita al gruppo iraniano MuddyWater.
Ecco i dettagli principali dell'operazione:
- Periodo e Target: L'attività è stata rilevata a partire dal 26 gennaio 2026 e ha colpito principalmente organizzazioni e individui nella regione MENA.
- Vettore di attacco: L'attacco inizia solitamente con email di spear phishing contenenti documenti Microsoft Office con macro malevole. In alternativa, sono state sfruttate vulnerabilità su server esposti pubblicamente.
- Malware identificati: Sono state individuate quattro diverse famiglie di malware:
- CHAR: Una backdoor scritta in Rust che utilizza un bot Telegram come canale di comando e controllo (C2).
- GhostFetch: Un downloader avanzato con capacità di anti-analisi (controlla RAM, CPU, movimenti del mouse, ecc.).
- GhostBackDoor: Una backdoor sofisticata che utilizza comunicazioni cifrate in AES e frammentazione del traffico.
- HTTP_VIP: Un downloader utilizzato per distribuire il software AnyDesk RMM come strumento di accesso remoto.
- Dettagli Tecnici ed Evidenze:
- Il bot Telegram utilizzato (denominato stager_51_bot) ha permesso di tracciare l'attività post-exploitation, inclusi comandi di ricognizione e movimenti laterali avvenuti tra ottobre 2025 e febbraio 2026.
- È stata riscontrata la presenza di emoji nelle stringhe di debug del malware CHAR, il che suggerisce l'uso dell'intelligenza artificiale (IA) nello sviluppo del codice.
- L'attribuzione a MuddyWater è rafforzata da somiglianze con il malware BlackBeard e dal ritrovamento di un comando digitato con tastiera in lingua persiana nella cronologia dei comandi.
Indicazioni di Sicurezza: si consiglia cautela con le email sospette e si raccomanda di limitare la divulgazione di queste informazioni esclusivamente alla Constituency di codesto CSIRT.
