كشفت تقارير تقنية حديثة عن تفاصيل حملة تجسس سيبراني موسعة استهدفت مؤسسات وأفراداً في منطقة الشرق الأوسط وشمال أفريقيا، نُسبت إلى مجموعة MuddyWater، والتي تعرف أيضاً بأسماء حركية مثل Earth Vetala وMango Sandstorm.
أطلق الخبراء على هذه النشاطات اسم عملية Olalampo، وهي لا تمثل مجرد حادثة اختراق عارضة، بل تعكس تطوراً ملموساً في العقيدة التشغيلية للمجموعة، حيث زاوجت بين أساليب الاختراق التقليدية وبين أدوات برمجية حديثة وقنوات تحكم غير مألوفة لتجاوز الأنظمة الدفاعية.
اعتمدت العملية في بدايتها على مدخل كلاسيكي يتمثل في رسائل البريد الإلكتروني الاحتيالي الموجه، والتي تحمل مرفقات من حزمة Microsoft Office تحتوي على برمجيات ماكرو خبيثة. وبمجرد قيام الضحية بتفعيل هذه الأوامر، تبدأ سلسلة من العمليات التقنية لفك ترميز حمولات برمجية مدمجة وتشغيلها، ما يمنح المهاجمين قدرة التحكم عن بُعد في الأجهزة المصابة.
وقد تنوعت الطعوم المستخدمة في هذه الرسائل لتشمل ملفات Excel تدعي تقديم تقارير أو تذاكر طيران، وانتحلت إحداها صفحة شركة خدمات طاقة وبحرية في المنطقة لضمان استجابة المستهدفين.
الهندسة المتدرجة لعائلات البرمجيات الخبيثة
تتميز عملية Olalampo باستخدام ترسانة برمجية مكونة من 4 أدوات رئيسية تعمل بتناغم وتدرج لضمان الاستمرارية داخل الشبكة المخترقة.
الأداة الأولى هي GhostFetch، وهي من فئة برامج التحميل التي تتمتع بحساسية عالية تجاه بيئات الفحص الأمني؛ إذ تقوم بجمع بصمة النظام ومراقبة حركة الفأرة ودقة الشاشة للتأكد من أنها تعمل على جهاز حقيقي وليس بيئة تحليل افتراضية (Sandbox). يقوم GhostFetch بجلب المرحلة الثانية من الهجوم وتشغيلها مباشرة في الذاكرة العشوائية (RAM) دون ترك أثر ملموس على القرص الصلب، وهو أسلوب يُعرف بالتحميل الانعكاسي (Reflective Loading) لتقليل فرص الاكتشاف.
تنتقل السلسلة بعد ذلك إلى GhostBackDoor، وهو باب خلفي تفاعلي يسمح للمهاجمين بقراءة الملفات وكتابتها وتنفيذ أوامر برمجية. وقد لاحظ المحللون في شركة Group-IB أن هذا البرنامج يمتلك قدرة على التكيف مع صلاحيات المستخدم؛ فإذا كان يمتلك صلاحيات إدارية، يثبت نفسه كخدمة نظام باسم MicrosoftVersionUpdater، أما في الحالات المحدودة، فيختبئ داخل سلة المحذوفات أو مسارات بدء التشغيل التلقائي.
كما تضمنت الحملة أداة HTTP_VIP التي تتصل بخوادم خارجية لجلب برنامج AnyDesk، وهو تطبيق شرعي للوصول عن بُعد، واستخدامه كغطاء قانوني للسيطرة اليدوية على الأجهزة، مما يجعل النشاط التخريبي يبدو كأنه جلسة دعم فني عادية.
لغة Rust والذكاء الاصطناعي: ملامح التحول في الترسانة الهجومية
يبرز في هذه العملية ظهور الأداة الرابعة المسماة CHAR، وهي باب خلفي مكتوب بلغة البرمجة Rust، وتتم إدارته عبر قناة تحكم (C2) غير تقليدية تعتمد على بوت في منصة Telegram يحمل اسم Olalampo.
يمنح اختيار لغة Rust المهاجمين ميزة تقنية، كون ملفاتها التنفيذية أقل إلفة لأنظمة الرصد التي اعتادت ملاحقة السكربتات التقليدية. وقد كشف التحليل الفني لبرنامج CHAR عن وجود مؤشرات قوية توحي باستخدام تقنيات الذكاء الاصطناعي التوليدي (GenAI) في تطويره، وذلك بسبب رصد رموز تعبيرية (Emojis) داخل نصوص تصحيح الأخطاء، وهو سلوك غير معتاد في البرمجيات التي يكتبها البشر يدوياً وبصورة احترافية، ما يرجح استخدام نماذج ذكاء اصطناعي لتوليد أو تنقيح الكود البرمجي دون تنظيف هذه الزوائد.
تتقاطع هذه النتائج مع تقارير سابقة لـ Google Threat Intelligence Group حول محاولات مجموعة MuddyWater استغلال نماذج لغوية مثل Gemini لدعم أبحاث تطوير برمجيات خبيثة مخصصة، عبر التحايل على ضوابط السلامة بادعاء سياقات تعليمية.
وبالإضافة إلى التطور في البرمجيات، أظهرت مرحلة ما بعد الاختراق نشاطاً مكثفاً لاستخدام أوامر PowerShell لإنشاء قنوات اتصال خفية لتهريب البيانات المسروقة من المتصفحات.
إن هذا المزيج بين التمويه التقني، وتنوع لغات البرمجة، والاعتماد على تطبيقات التواصل الاجتماعي كقنوات تحكم، يضع المؤسسات في المنطقة أمام تحدٍ أمني يتطلب مراقبة السلوكيات البرمجية داخل الذاكرة وإدارة سطح الهجوم بصرامة تفوق مجرد الاعتماد على فحص الروابط والمرفقات.
