Grupo MuddyWater utiliza novas ferramentas para atacar organizações do MENA

Tipo principal do conteúdo: Cibersegurança

O grupo de hackers conhecido como MuddyWater, associado a múltiplos pseudônimos como Earth Vetala e Mango Sandstorm, intensificou suas operações na região do Oriente Médio e Norte da África por meio da campanha batizada de Operation Olalampo. A ofensiva, identificada em janeiro de 2026, envolve o uso de novas famílias de malware, incluindo os downloaders GhostFetch e HTTP_VIP, além do backdoor em Rust chamado CHAR e do implante avançado GhostBackDoor.

A cadeia de ataque segue padrões já observados em campanhas anteriores do grupo, começando por e-mails de phishing com documentos do Microsoft Office que contêm macros maliciosas. Uma vez ativadas, essas macros decodificam e executam cargas úteis que concedem controle remoto ao invasor. Entre as técnicas empregadas, destacam-se o uso de temas variados para enganar as vítimas e a distribuição de ferramentas como AnyDesk para facilitar o acesso remoto.

Do ponto de vista técnico, os malwares utilizados apresentam funções sofisticadas de reconhecimento do ambiente, evasão de análise e execução de cargas secundárias diretamente na memória. O CHAR, por exemplo, é controlado via bot do Telegram e permite execução de comandos avançados, enquanto o GhostFetch realiza validações detalhadas do sistema antes de baixar outros componentes. A análise do código-fonte do CHAR revelou indícios de desenvolvimento assistido por inteligência artificial, reforçando a adoção de métodos inovadores por parte do grupo.

Além disso, o MuddyWater tem explorado vulnerabilidades recentes em servidores expostos para obter acesso inicial às redes-alvo. A combinação de ferramentas personalizadas, uso de IA e diversificação das infraestruturas de comando e controle evidencia a evolução técnica do grupo e seu potencial para ampliar o impacto operacional de futuras campanhas.