Die iranische Hacker-Gruppe MuddyWater führt eine neue Kampagne gegen Ziele im Nahen Osten und Nordafrika durch und setzt dabei mehrere bisher unbekannte Malware-Familien wie GhostFetch, CHAR und HTTP_VIP ein.
Die iranische Hackergruppe MuddyWater, die auch unter den Namen Earth Vetala, Mango Sandstorm und MUDDYCOAST bekannt ist, hat eine großangelegte Angriffskampagne namens Operation Olalampo gestartet. Das Ziel sind hauptsächlich Organisationen und Einzelpersonen in der Region Naher Osten und Nordafrika (MENA). Wie das Cybersecurity-Unternehmen Group-IB berichtet, wurde die Aktivität erstmals am 26. Januar 2026 beobachtet und führte zur Verbreitung mehrerer neuer Malware-Familien.
Zum Einsatz kommen dabei der Downloader GhostFetch, das Backdoor-Programm HTTP_VIP, ein in Rust geschriebenes Backdoor namens CHAR sowie das fortgeschrittene Implant GhostBackDoor, das von GhostFetch installiert wird.
Die Angriffsmethoden folgen bekannten MuddyWater-Mustern: Den Anfang machen Phishing-E-Mails mit Microsoft-Office-Dokumenten, die Makro-Code enthalten. Dieser decodiert die versteckte Malware und führt sie aus, wodurch die Angreifer die Kontrolle über das System erhalten.
In einer Variante wird ein manipuliertes Excel-Dokument verwendet, das Nutzer zum Aktivieren von Makros auffordert, um schließlich CHAR zu installieren. Eine andere Version bringt GhostFetch auf das System, das wiederum GhostBackDoor nachlädt. Eine dritte Variante nutzt täuschend echte Lures wie Flugtickets oder Geschäftsberichte, teilweise mit dem Branding von Energie- und Schifffahrtsunternehmen aus dem Nahen Osten, um den HTTP_VIP-Downloader zu verbreiten. Dieser installiert anschließend die Fernzugriffssoftware AnyDesk.
Die neuen Tools bieten umfangreiche Funktionalität: CHAR führt PowerShell-Befehle aus, etabliert SOCKS5-Reverse-Proxys, fungiert als zusätzliches Backdoor namens Kalim, kann Browser-Daten diebstahl und führt unbekannte Programme aus.
Besonders interessant ist die Analyse des CHAR-Codes durch Group-IB. Sie zeigt Hinweise auf eine KI-gestützte Entwicklung – unter anderem durch Emojis in Debug-Strings. Dies bestätigt frühere Berichte von Google, wonach MuddyWater experimentell mit generativen KI-Tools arbeitet, um maßgeschneiderte Malware für Datentransfer und Remote-Execution zu entwickeln.
Auffällig ist auch eine strukturelle Ähnlichkeit zu BlackBeard, einer Rust-basierten Malware, die CloudSEK und Seqrite Labs MuddyWater zuordneten. Diese wurde bereits zur Zielrichtung verschiedener Organisationen im Nahen Osten eingesetzt.
Die Gruppe nutzt zudem kürzlich offenbarte Sicherheitslücken auf öffentlich erreichbaren Servern, um initial in Zielnetzwerke eindringen.
Group-IB fasst zusammen: “MuddyWater bleibt eine aktive Bedrohung in der MENA-Region. Die Gruppe zeigt kontinuierlich neue Entwicklungen bei der Nutzung von KI-Technologie, bei der Entwicklung maßgeschneiderter Malware und einer diversifizierten Command-and-Control-Infrastruktur – ein deutliches Zeichen ihrer Entschlossenheit und Ambitionen, ihre Operationen auszubauen.”
Quelle: The Hacker News