0-day в деле
Image

0-day в деле

Показываем, как критические баги ломают системы в реальном времени, пока вендоры только готовят патч. 

Иранский шпионаж с запахом Rust. Зачем взломщикам понадобились «призрачные» бэкдоры

leer en español

MuddyWater Group-IB Operation Olalampo GhostFetch CHAR HTTP_VIP кибератаки
Иранский шпионаж с запахом Rust. Зачем взломщикам понадобились «призрачные» бэкдоры
MuddyWater Group-IB Operation Olalampo GhostFetch CHAR HTTP_VIP кибератаки

Иногда обычное письмо на почте оказывается началом большой катастрофы.

image

Иранская группировка MuddyWater развернула новую волну атак против организаций и частных лиц на Ближнем Востоке и в Северной Африке. Кампания получила название Operation Olalampo и стартовала в конце января 2026 года. По данным специалистов из компании Group-IB, злоумышленники задействовали несколько новых инструментов, часть которых перекликается с ранее замеченными разработками этой же структуры.

В ходе операции применяются загрузчики GhostFetch и HTTP_VIP, бэкдор CHAR на языке Rust, а также имплант GhostBackDoor. Атаки начинаются с фишинговых писем с вложениями в формате Microsoft Office. Документы содержат вредоносные макросы, которые после активации расшифровывают встроенный код, сохраняют его в системе и запускают. После этого нападавшие получают удалённый доступ к заражённому устройству.

Один из сценариев строится вокруг Excel-файла, который убеждает включить макросы и в итоге устанавливает CHAR. В другой версии сначала загружается GhostFetch, а затем через него разворачивается GhostBackDoor. Третий вариант использует темы авиабилетов и отчётов, а также маскировку под ближневосточную компанию в сфере энергетики и морских услуг. В этом случае жертве доставляют HTTP_VIP, который впоследствии устанавливает AnyDesk для удалённого управления.

GhostFetch выполняет первичную разведку системы, проверяет движение мыши и разрешение экрана, ищет следы виртуальной среды и антивирусов, после чего подгружает дополнительные компоненты напрямую в память. GhostBackDoor поддерживает интерактивную оболочку и операции с файлами. HTTP_VIP связывается с внешним сервером для аутентификации и загрузки AnyDesk, а новая версия инструмента способна собирать сведения о системе, выполнять команды, передавать файлы и перехватывать содержимое буфера обмена. CHAR управляется через Telegram-бота с именем Olalampo и может запускать команды cmd.exe или PowerShell, в том числе для развёртывания SOCKS5-прокси, дополнительного бэкдора Kalim и выгрузки данных из браузеров.

Анализ исходного кода CHAR показал признаки применения генеративных ИИ-инструментов при разработке. Ранее Google сообщала, что MuddyWater экспериментирует с подобными технологиями для создания вредоносных программ с функциями удалённого выполнения команд и передачи файлов. Кроме того, структура CHAR напоминает Rust-вредонос BlackBeard, который также связывали с этой группировкой.

Помимо фишинга, злоумышленники используют недавно раскрытые уязвимости на публичных серверах для первичного проникновения в инфраструктуру. В Group-IB считают, что MuddyWater сохраняет высокую активность в регионе MENA и расширяет инструментарий, сочетая собственные разработки, разветвлённую инфраструктуру управления и элементы искусственного интеллекта.