オラランポ作戦攻撃作戦
イランの国家と連携する脅威グループ「MuddyWater」(Earth Vetala、Mango Sandstorm、MUDDYCOASTとしても追跡されている)が、「Operation Olalampo」と名付けられた新たなサイバー攻撃キャンペーンを開始しました。この作戦は、主に中東・北アフリカ(MENA)地域の組織や個人を標的としています。
2026年1月26日に初めて検出されたこのキャンペーンは、複数の新しいマルウェアファミリーを導入しながら、同グループが以前から利用していたコンポーネントを再利用しています。セキュリティ研究者は、この活動はMuddyWaterの既存の活動パターンの継続を反映しており、META地域(中東、トルコ、アフリカ)における同グループの継続的な存在感を強めていると報告しています。
目次
感染経路と攻撃チェーン
このキャンペーンは、以前のMuddyWaterの活動と一致する、おなじみの侵入手法を採用しています。最初のアクセスは通常、悪意のあるMicrosoft Officeファイルを添付したスピアフィッシングメールから始まります。これらのファイルには、被害者のシステム上でペイロードをデコードして実行するように設計されたマクロコードが埋め込まれており、最終的には攻撃者にリモートコントロールを付与します。
いくつかの攻撃のバリエーションが観察されています:
- 悪意のある Microsoft Excel ドキュメントが、被害者にマクロを有効にするよう促し、Rust ベースのバックドア CHAR の展開を引き起こします。
- 関連する亜種は GhostFetch ダウンローダーを配信し、その後 GhostBackDoor インプラントをインストールします。
- 3つ目の感染チェーンは、中東のエネルギー・海洋サービス企業を装うのではなく、航空券や運用報告書といったテーマに沿ったルアーを用いてHTTP_VIPダウンローダーを拡散します。この亜種は最終的にAnyDeskリモートデスクトップアプリケーションをインストールし、永続的なアクセスを可能にします。
さらに、このグループは、インターネットに接続されたサーバーで新たに公開された脆弱性を悪用して、標的の環境への初期アクセスを取得していることが確認されています。
マルウェアの武器庫: カスタムツールとモジュラーインプラント
オラランポ作戦は、偵察、持続化、リモート制御を目的とした構造化された多段階のマルウェアエコシステムを利用しています。このキャンペーンで確認された主なツールは以下のとおりです。
GhostFetch – マウスの動きと画面解像度の検証、デバッグツールの検出、仮想マシンのアーティファクトの特定、ウイルス対策ソフトウェアのチェックなどにより、侵入したシステムのプロファイリングを行う第一段階のダウンローダーです。二次ペイロードをメモリ内で直接取得し、実行します。
GhostBackDoor – GhostFetchによって配信される第2段階のインプラント。対話型シェルアクセス、ファイルの読み書き操作を可能にし、GhostFetchを再起動できます。
HTTP_VIP – システム偵察を行い、認証のために外部ドメイン「codefusiontech.org」に接続するネイティブダウンローダー。コマンドアンドコントロール(C2)サーバーからAnyDeskを展開します。新しいバージョンでは、被害者データの収集、対話型シェル実行、ファイル転送、クリップボードキャプチャ、ビーコン間隔の設定など、機能が強化されています。
CHAR – 「Olalampo」(ユーザー名:stager_51_bot)と呼ばれるTelegramボットを介して制御されるRustベースのバックドア。ディレクトリナビゲーションとcmd.exeまたはPowerShellコマンドの実行をサポートします。
CHARに関連付けられたPowerShell機能は、SOCKS5リバースプロキシまたはKalimと呼ばれる追加のバックドアの実行を可能にします。また、ブラウザデータの窃取を容易にし、「sh.exe」および「gshdoc_release_X64_GUI.exe」という実行ファイルを起動します。
AI支援開発とコードの重複
CHARのソースコードの技術分析により、人工知能(AI)を活用した開発の兆候が明らかになりました。デバッグ文字列に絵文字が含まれていることは、Googleが以前に公表した調査結果と一致しており、MuddyWaterはマルウェア開発、特にファイル転送とリモート実行機能を強化するために、生成AIツールの実験を行っていたと報告されています。
さらに分析を進めると、CHARと、このグループが以前中東の組織に対して展開したRustベースのマルウェアBlackBeard(Archer RATまたはRUSTRICとしても知られる)との間に、構造的および環境的な類似性が明らかになりました。これらの重複は、開発パイプラインの共有とツールの反復的な改良を示唆しています。
能力と戦略的意図の拡大
MuddyWaterはMETA地域において、依然として持続的かつ進化を続ける脅威アクターです。AIを活用した開発の統合、特注マルウェアの継続的な改良、公開されている脆弱性の悪用、そしてC2インフラの多様化は、活動拡大に向けた長期的なコミットメントを示しています。
オラランポ作戦は、このグループがMENA地域を拠点とする標的に継続的に注力していることを浮き彫りにし、侵入能力の高度化を浮き彫りにしています。この地域で活動する組織は、警戒を強化し、マクロ制限を実施し、発信側のコマンドアンドコントロール(C2)通信を監視し、脆弱性のタイムリーな修復を優先することで、進化する脅威環境への露出を軽減する必要があります。
