文章总结： 伊朗APT组织MuddyWater针对中东发起OperationOlalampo行动，利用AI辅助编写Rust木马CHAR并借Telegram控制，结合钓鱼与合法远控工具AnyDesk实施攻击。攻击呈现技术栈升级与白利用趋势。建议通过禁用宏、部署EDR、屏蔽恶意通信及修补漏洞构建多层防御，以应对APT技术竞速挑战。 综合评分： 87 文章分类： 威胁情报,恶意软件,AI安全,应急响应

AI写木马、Telegram控场！伊朗MuddyWater新攻势Operation Olalampo横扫中东

原创

AI紫队安全研究 AI紫队安全研究

AI紫队安全研究

2026年3月5日 12:00 广东

大家好，我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“AI紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。

2026年1月26日起，伊朗知名APT组织MuddyWater（别名“浑水”，又称Earth Vetala、Mango Sandstorm）发起代号“Operation Olalampo”的大规模间谍行动，将中东和北非（MENA）地区的政府机构、企业及个人列为主要目标。

与以往不同，这次“浑水”不仅亮出四款全新恶意软件，更首次曝光AI辅助编程的痕迹，用Rust语言打造高难度逆向的后门，还借助Telegram机器人和合法远控工具构建隐蔽通道，攻击手法全面升级，让防守方防不胜防。

结合Group-IB及安全社区的追踪分析，我们拆解这场“AI+ Rust+白利用”的复合型攻击，揭秘其层层渗透的致命逻辑。

一、钓鱼诱饵：老套路玩出新花样，三招突破防线

“浑水”延续了拿手的鱼叉式钓鱼，但在诱饵包装和攻击链设计上更加精细，三种攻击路径覆盖不同场景：

伪装专业文档诱宏：发送含恶意Excel文档的邮件，伪装成中东能源海事公司业务文件、机票行程单或企业报告，诱导受害者启用宏以“正常查看内容”；

三重攻击链分流：启用宏后会触发不同感染流程——要么直接释放Rust后门CHAR，要么部署GhostFetch下载器拉取GhostBackDoor，还可能通过HTTP_VIP下载器静默安装AnyDesk远控软件；

漏洞辅助入侵：除钓鱼外，还扫描并利用目标公网服务器的近期披露漏洞，开辟额外攻击入口，降低对钓鱼成功率的依赖。

看似传统的攻击起点，实则通过“文档伪装+多路径感染+漏洞补充”的组合，大幅提升了入侵成功率。

二、武器库揭秘：四款恶意软件各司其职，AI加持成亮点

本次行动曝光的四款核心恶意软件分工明确，从侦察、下载到持久控制形成完整闭环，技术含量远超以往：

1. GhostFetch：反侦察拉满的“前哨兵”

作为一阶段下载器，它的核心任务是“环境探查+安全投递”：

启动后先校验鼠标移动轨迹、屏幕分辨率，排查调试器、虚拟机特征及杀毒软件，精准识别沙箱环境；

确认安全后，直接从C2服务器拉取二级载荷，全程内存执行不落地文件，完美规避传统文件特征检测。

2. GhostBackDoor：功能纯粹的“控制中枢”

由GhostFetch投递的二级后门，主打稳定控制：

提供交互式Shell，支持文件读写、命令执行等核心功能，满足长期窃密需求；

可随时重新调用GhostFetch，确保权限持续有效，不怕单一组件被清理。

3. HTTP_VIP：“白利用”高手，借合法工具隐身

这款原生下载器最擅长“混水摸鱼”：

先收集系统信息，通过codefusiontech.org域名完成C2认证，随后静默部署AnyDesk合法远控软件；

利用企业防火墙对AnyDesk的默认放行规则，建立长期控制通道，新变种还能抓取剪贴板、动态调整心跳间隔，反溯源能力极强。

4. CHAR：AI加持的Rust后门（本次行动明星武器）

这是“浑水”本次最亮眼的技术突破，堪称“APT级木马新标杆”：

Rust语言编写：编译后二进制结构复杂，逆向分析难度倍增，且天然支持跨平台，适配更多目标设备；

Telegram控场：通过名为“Olalampo”、用户名“stager_51_bot”的Telegram机器人接收指令，穿透防火墙限制，通信隐蔽性拉满；

AI辅助实锤：代码调试字符串中出现大量Emoji，符合生成式AI辅助编程的特征，印证“浑水”正用AI提升恶意软件开发效率；

多功能作恶：可执行Cmd/PowerShell命令、搭建SOCKS5反向代理，还能部署Kalim后门窃取浏览器敏感数据。

三、攻击特点：APT组织的“进化密码”

这场Operation Olalampo清晰展现了现代APT攻击的三大趋势，值得所有组织警惕：

1. 技术栈升级：放弃易逆向的C/C++，转向Rust等高级语言，提升攻击门槛，这也是近年来APT组织的共同选择；

2. 合法工具滥用：借助AnyDesk等商业软件、Telegram等常用平台构建C2，让恶意流量混在正常通信中，传统流量检测难以识别；

3. AI加速开发：利用生成式AI辅助编写恶意代码，缩短开发周期，还能通过AI优化反侦察逻辑，让木马更难被捕捉。

四、紧急防御指南：针对性阻断攻击链

面对“浑水”的复合型攻势，需从“入口防护、终端检测、流量监控”三方面构建防线：

1. 严控宏执行：在Office中禁用非必要宏功能，对来历不明的Excel文档直接隔离，避免启用宏触发感染；

2. 终端行为监测：部署EDR工具，重点监控Rust编译的未知进程、异常PowerShell活动，以及无授权的AnyDesk安装行为；

3. 拦截关键通信：屏蔽Telegram机器人API通信、codefusiontech.org等关联域名，限制内网主机与外部AnyDesk服务器的非必要连接；

4. 漏洞应急响应：及时修补公网服务器的近期披露漏洞，关闭无用端口，减少攻击入口；

5. 提升安全意识：针对中东地区员工开展专项培训，警惕伪装成业务文件、行程单的钓鱼邮件，不轻易打开陌生附件。

结语：APT对抗进入“技术竞速”时代

从AI辅助编程到Rust语言应用，MuddyWater的Operation Olalampo印证了一个趋势：网络攻击正进入“技术竞速”阶段，APT组织不再满足于传统攻击手段，而是主动拥抱新技术提升作战能力。

对中东和北非地区的目标组织而言，这场攻击绝非偶然，而是“浑水”长期聚焦该区域的战略延续。唯有紧跟威胁演进节奏，构建“多层次防御+主动狩猎”的安全体系，才能在这场看不见的战争中守住关键数据和核心资产。

网络安全的博弈永远没有终点，面对不断进化的对手，持续升级防御能力才是唯一答案。

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI紫队安全研究 AI紫队安全研究 AI紫队安全研究《AI写木马、Telegram控场！伊朗MuddyWater新攻势Operation Olalampo横扫中东》