Group-IB identifica nueva ofensiva de MuddyWater contra organizaciones en Oriente Próximo
La firma de ciberseguridad Group-IB ha revelado los detalles de una nueva y sofisticada campaña de ciberespionaje dirigida contra organizaciones en la región de Oriente Próximo y el Norte de África (MENA). La operación, denominada "Olalampo", ha sido atribuida a MuddyWater, un grupo de amenazas persistentes avanzadas (APT) vinculado a la inteligencia de Irán.
Un arsenal renovado y asistido por IA
El informe de Group-IB destaca la aparición de nuevas familias de malware diseñadas para infiltrarse en redes corporativas y gubernamentales. Entre las herramientas detectadas sobresalen:
GhostFetch y GhostBackDoor: Un sistema de dos etapas donde el primero perfila el sistema de la víctima (verificando incluso movimientos del ratón para evadir entornos virtuales) y el segundo establece un control remoto total.
CHAR: Un backdoor escrito en el lenguaje de programación Rust que es controlado de forma inusual a través de un bot de Telegram.
HTTP_VIP: Un descargador nativo utilizado para desplegar software de escritorio remoto como AnyDesk para mantener persistencia en los sistemas comprometidos.
Un hallazgo particularmente relevante de los analistas de Group-IB es la evidencia de que MuddyWater está utilizando Inteligencia Artificial (IA) para el desarrollo de su malware. El código de "CHAR" contiene cadenas de depuración con emojis y estructuras que sugieren el uso de herramientas de IA generativa, una tendencia que ya había sido advertida por expertos de Google a finales del año pasado.
El vector de ataque: Phishing y macros
A pesar de la sofisticación de su nuevo malware, el grupo sigue confiando en el phishing como su principal puerta de entrada. Los atacantes envían correos electrónicos con documentos de Microsoft Office maliciosos que, bajo pretextos como informes de servicios energéticos o billetes de avión, incitan al usuario a habilitar macros. Una vez activadas, estas macros ejecutan el código que despliega el arsenal técnico en el equipo de la víctima.
Geopolítica y objetivos estratégicos
MuddyWater (también conocido como Earth Vetala o Mango Sandstorm) ha mantenido históricamente su enfoque en entidades de sectores estratégicos. Según Group-IB, la Operación Olalampo, iniciada formalmente el 26 de enero de 2026, demuestra una "dedicación e intención de expandir sus operaciones" mediante el uso de infraestructuras de mando y control (C2) cada vez más diversificadas.
"El grupo MuddyWater sigue siendo una amenaza activa y persistente en la región META (Oriente Medio, Turquía y África)", concluye el informe de Group-IB. La adopción de tecnología de IA y el desarrollo continuo de herramientas a medida subrayan la necesidad de que las organizaciones refuercen sus perímetros de seguridad ante ataques de origen estatal.