في حملة جديدة تحمل الاسم الرمزي “Operation Olalampo”، استهدفت مجموعة القرصنة الإيرانية المعروفة باسم MuddyWater (وتُعرف أيضاً بـ Earth Vetala وMango Sandstorm وMUDDYCOAST) عدداً من المؤسسات والأفراد في منطقة الشرق الأوسط وشمال أفريقيا (MENA). الحملة التي رُصدت لأول مرة في 26 يناير 2026 كشفت عن استخدام عائلات برمجيات خبيثة جديدة، بعضها مبني على أدوات سبق أن استعملتها المجموعة في هجماتها السابقة، وفقاً لتقرير صادر عن شركة الأمن السيبراني Group-IB.
أنماط الهجوم وأساليب الاختراق
تبدأ معظم الهجمات عبر رسائل تصيّد احتيالي تحتوي على مستندات Microsoft Office مزودة بأكواد ماكرو خبيثة. هذه الأكواد تقوم بفك تشفير الحمولة المدمجة وإسقاطها على النظام، مما يمنح المهاجمين سيطرة عن بُعد. أحد السيناريوهات يعتمد على ملف Excel يطلب من المستخدم تفعيل الماكرو ليتم تنزيل أداة CHAR، بينما سيناريو آخر يؤدي إلى تشغيل أداة GhostFetch التي بدورها تُسقط برمجية GhostBackDoor.
كما رُصدت نسخة ثالثة من الهجوم تستخدم طُعماً مختلفاً مثل تذاكر سفر أو تقارير مزيفة، لتوزيع أداة HTTP_VIP التي تقوم لاحقاً بتنزيل برنامج التحكم عن بُعد AnyDesk.
أدوات البرمجيات الخبيثة الجديدة
- GhostFetch: أداة تنزيل أولية تقوم بملف تعريف للنظام، التحقق من حركة الماوس ودقة الشاشة، ورصد وجود برامج مكافحة الفيروسات أو بيئات افتراضية، ثم تجلب حمولة إضافية وتنفذها في الذاكرة مباشرة.
- GhostBackDoor: باب خلفي متقدم يُسقط عبر GhostFetch، يتيح تشغيل أوامر تفاعلية، قراءة وكتابة الملفات، وإعادة تشغيل GhostFetch.
- HTTP_VIP: أداة تنزيل أصلية تقوم باستطلاع النظام والاتصال بخادم خارجي للمصادقة وتنزيل AnyDesk. النسخة الجديدة منها تضيف وظائف مثل رفع وتنزيل الملفات، التقاط محتوى الحافظة، وتعديل فترات الاتصال بالخادم.
- CHAR: باب خلفي مكتوب بلغة Rust ويتحكم فيه بوت على Telegram باسم “Olalampo”. يمكنه تغيير المسارات وتشغيل أوامر عبر cmd.exe أو PowerShell، بما في ذلك تشغيل وكيل عكسي SOCKS5 أو برمجية أخرى تدعى Kalim، إضافة إلى رفع بيانات مسروقة من المتصفحات.
دور الذكاء الاصطناعي في تطوير الهجمات
تحليل الشيفرة المصدرية لأداة CHAR كشف عن مؤشرات على استخدام أدوات الذكاء الاصطناعي التوليدي في تطوير البرمجيات الخبيثة، مثل وجود رموز تعبيرية في سلاسل التصحيح. هذا يتماشى مع تقارير سابقة أشارت إلى أن المجموعة بدأت في استغلال تقنيات الذكاء الاصطناعي لتسريع تطوير برمجيات مخصصة لنقل الملفات وتنفيذ الأوامر عن بُعد.
كما أن CHAR تشترك في بنية مشابهة مع برمجية BlackBeard المبنية أيضاً بلغة Rust، والتي سبق أن استُخدمت لاستهداف كيانات في الشرق الأوسط.
توسع العمليات واستغلال الثغرات
إلى جانب نشر البرمجيات الخبيثة، رُصدت المجموعة وهي تستغل ثغرات حديثة في خوادم متاحة للعامة للحصول على وصول أولي إلى الشبكات المستهدفة. ويؤكد تقرير Group-IB أن مجموعة MuddyWater لا تزال تمثل تهديداً نشطاً في منطقة META (الشرق الأوسط، تركيا، أفريقيا)، مع تركيز خاص على المؤسسات في منطقة MENA.
ويشير التقرير إلى أن اعتماد المجموعة المتزايد على تقنيات الذكاء الاصطناعي، إلى جانب تطوير أدوات مخصصة وبنى تحتية متنوعة للتحكم والسيطرة، يعكس إصرارها على توسيع نطاق عملياتها وتعزيز قدراتها الهجومية.
