حملة اختراق إيرانية متطورة تستهدف الشرق الأوسط وشمال أفريقيا باستخدام GhostFetch وCHAR وHTTP_VIP
الهجمات الإلكترونية في الشرق الأوسط وشمال أفريقيا تتصاعد بشكل لافت، بعدما استهدفت مجموعة القرصنة الإيرانية المعروفة باسم MuddyWater، والمعروفة أيضًا بأسماء Earth Vetala وMango Sandstorm وMUDDYCOAST، العديد من المنظمات والأفراد في المنطقة، ضمن حملة جديدة تحمل الاسم الرمزي Operation Olalampo.
وبحسب ما كشفه تقرير صادر عن شركة الأمن السيبراني Group-IB، فقد جرى رصد هذا النشاط الخبيث لأول مرة في 26 يناير 2026، وأسفر عن نشر عائلات جديدة من البرمجيات الخبيثة، تتشارك في عينات متداخلة سبق تحديد استخدامها من قبل الجهة المهاجمة في هجمات سابقة.
سلاسل هجوم تعتمد على التصيد الاحتيالي
وأوضحت Group-IB أن هذه الهجمات تتبع أنماطًا متشابهة، وتتوافق مع سلاسل القتل الإلكترونية التي لوحظت سابقًا في هجمات MuddyWater، حيث تبدأ برسالة بريد إلكتروني للتصيد الاحتيالي، مرفق بها مستند Microsoft Office يحتوي على رمز ماكرو خبيث.
ويقوم هذا الرمز بفك تشفير الحمولة المضمنة وإسقاطها على النظام وتنفيذها، ما يمنح المهاجمين تحكمًا كاملًا عن بُعد في الجهاز المصاب.
مستندات Excel خبيثة وبداية العدوى
وتستخدم إحدى سلاسل الهجوم مستند Microsoft Excel خبيثًا يحث المستخدمين على تفعيل وحدات الماكرو، وهو ما يؤدي إلى تنشيط العدوى وتثبيت برنامج CHAR الخبيث مباشرة على النظام. وفي سيناريو آخر مشابه، يؤدي الهجوم إلى تثبيت برنامج GhostFetch، الذي يتولى بدوره تنزيل برنامج GhostBackDoor وتشغيله.
طعم مختلف في نسخة ثالثة من الهجوم
وفي إصدار ثالث من الحملة، لجأت المجموعة إلى استخدام طعم مختلف، مثل تذاكر الطيران والتقارير.. بدلًا من محاكاة شركات خدمات الطاقة والخدمات البحرية في الشرق الأوسط.
ويستخدم هذا الأسلوب لتوزيع برنامج التنزيل HTTP_VIP، الذي يقوم بدوره بنشر أداة AnyDesk للتحكم في سطح المكتب عن بُعد.
شرح تفصيلي لأدوات الاختراق المستخدمة
GhostFetch: برنامج تنزيل من المرحلة الأولى، يقوم بتحليل النظام، والتحقق من حركة الماوس، وفحص دقة الشاشة، والكشف عن أدوات تصحيح الأخطاء، وآثار الآلات الافتراضية، وبرامج مكافحة الفيروسات، ثم يجلب الحمولات الثانوية وينفذها مباشرة في الذاكرة.
GhostBackDoor: باب خلفي من المرحلة الثانية يتم تثبيته بواسطة GhostFetch، ويدعم واجهة تفاعلية.. وقراءة وكتابة الملفات، بالإضافة إلى إعادة تشغيل GhostFetch.
HTTP_VIP: برنامج تنزيل أصلي يقوم باستطلاع النظام، ويتصل بخادم خارجي للمصادقة ونشر برنامج AnyDesk من خادم التحكم والسيطرة.
كما أضيف إلى إصدار جديد منه قدرات متقدمة تشمل استرداد معلومات الضحية، وتنفيذ جلسات تفاعلية.. وتنزيل وتحميل الملفات، والتقاط محتويات الحافظة، وتحديث فترات السكون والإرسال.
CHAR: باب خلفي مكتوب بلغة Rust، يتم التحكم فيه بواسطة بوت Telegram يحمل الاسم الأول “Olalampo” واسم المستخدم “stager_51_bot”، ويتيح تغيير الدليل وتنفيذ أوامر cmd.exe أو PowerShell.
PowerShell وأبواب خلفية إضافية
وتم تصميم أوامر PowerShell لتنفيذ وكيل عكسي SOCKS5 أو باب خلفي آخر يعرف باسم Kalim.. إلى جانب تحميل البيانات المسروقة من متصفحات الويب، وتشغيل ملفات تنفيذية غير معروفة مثل “sh.exe” و“gshdoc_release_X64_GUI.exe”.
ذكاء اصطناعي في تطوير البرمجيات الخبيثة
وكشف تحليل Group-IB لشفرة المصدر الخاصة ببرنامج CHAR عن مؤشرات على التطوير بمساعدة الذكاء الاصطناعي.. تمثلت في وجود رموز تعبيرية داخل سلاسل تصحيح الأخطاء.
ويتماشى هذا الاكتشاف مع ما أعلنت عنه Google العام الماضي، بشأن تجارب MuddyWater في استخدام أدوات الذكاء الاصطناعي التوليدية لتسهيل تطوير برمجيات خبيثة مخصصة تدعم نقل الملفات والتنفيذ عن بعد.
تشابه مع برمجيات خبيثة أخرى
ومن الجوانب اللافتة أن برنامج CHAR يشترك في بنية وبيئة تطوير مماثلة مع برمجيات خبيثة أخرى قائمة على Rust.. مثل BlackBeard، المعروفة أيضًا باسم Archer RAT وRUSTRIC، والتي سبق الإبلاغ عن استخدامها لاستهداف كيانات مختلفة في الشرق الأوسط.
استغلال الثغرات واستمرار التهديد
كما تم ملاحظة أن مجموعة MuddyWater تستغل الثغرات الأمنية التي كشف عنها مؤخرًا في الخوادم العامة.. كوسيلة للحصول على وصول أولي إلى الشبكات المستهدفة.
وخلصت Group-IB إلى أن المجموعة لا تزال تشكل تهديدًا نشطًا في الشرق الأوسط وتركيا وأفريقيا.. مع استمرار تبنيها لتقنيات الذكاء الاصطناعي، وتطويرها المتواصل للأدوات الخبيثة والبنية التحتية للتحكم والسيطرة.
