Espionaje iraní con rastro de Rust: ¿por qué los hackers usaron «puertas traseras fantasma»?
A veces una carta aparentemente normal en la oficina de correos desata una gran catástrofe
El grupo iraní MuddyWater ha desplegado una nueva ola de ataques contra organizaciones y personas en Oriente Medio y en el norte de África. La campaña recibió el nombre Operation Olalampo y comenzó a finales de enero de 2026. Según especialistas de la compañía Group-IB, los atacantes emplearon varias herramientas nuevas, algunas de las cuales guardan similitudes con desarrollos previamente observados de este mismo grupo.
En la operación se utilizan los cargadores GhostFetch y HTTP_VIP, una puerta trasera CHAR escrita en Rust, así como el implante GhostBackDoor. Los ataques se inician con correos de phishing con archivos adjuntos en formato Microsoft Office. Los documentos contienen macros maliciosos que, al activarse, descifran el código incrustado, lo guardan en el sistema y lo ejecutan. Tras esto, los atacantes obtienen acceso remoto al equipo comprometido.
Uno de los escenarios gira en torno a un archivo de Excel que persuade para habilitar macros y acaba instalando CHAR. En otra versión se descarga primero GhostFetch y a través de este se despliega GhostBackDoor. El tercer variante usa temas de billetes de avión e informes, además de suplantar a una empresa de Oriente Medio del sector energético y de servicios marítimos. En ese caso se entrega HTTP_VIP a la víctima, que posteriormente instala AnyDesk para el control remoto.
GhostFetch realiza el reconocimiento inicial del sistema, comprueba el movimiento del ratón y la resolución de pantalla, busca señales de entornos virtuales y de antivirus, y después carga componentes adicionales directamente en la memoria. GhostBackDoor ofrece una consola interactiva y operaciones con archivos. HTTP_VIP se comunica con un servidor externo para autenticación y descarga de AnyDesk; la nueva versión de la herramienta es capaz de recopilar información del sistema, ejecutar comandos, transferir archivos e interceptar el contenido del portapapeles. CHAR se controla mediante un bot de Telegram llamado Olalampo y puede ejecutar comandos en cmd.exe o PowerShell, incluso para desplegar un proxy SOCKS5, un backdoor adicional llamado Kalim y extraer datos de los navegadores.
El análisis del código fuente de CHAR mostró indicios de uso de herramientas de IA generativa durante su desarrollo. Anteriormente Google informó que MuddyWater experimenta con tecnologías similares para crear malware con funciones de ejecución remota de comandos y transferencia de archivos. Además, la estructura de CHAR recuerda al malware escrito en Rust BlackBeard, que también se ha vinculado con este grupo.
Además del phishing, los atacantes explotan vulnerabilidades recientemente divulgadas en servidores públicos para el acceso inicial a la infraestructura. En Group-IB consideran que MuddyWater mantiene una alta actividad en la región MENA y amplía su conjunto de herramientas, combinando desarrollos propios, una infraestructura de comando y control extensa y elementos de inteligencia artificial.