MuddyWater가 GhostFetch, CHAR 및 HTTP_VIP를 사용해 MENA 조직을 표적

Source: The Hacker News

작성자 Ravie Lakshmanan – Feb 23 2026 – 위협 인텔리전스 / 인공지능

새로운 악성코드 패밀리

Group‑IB 보고서에 따르면, 이번 캠페인은 이전에 식별된 MuddyWater 샘플과 코드를 공유하는 여러 새로운 악성코드 패밀리를 배포합니다:

• GhostFetch – 시스템을 프로파일링하고, 마우스 움직임을 검증하며, 화면 해상도를 확인하고, 디버거, 가상 머신 아티팩트 및 안티바이러스 소프트웨어를 탐지한 뒤, 2차 페이로드를 메모리 내에서 직접 가져와 실행하는 1단계 다운로더.
• GhostBackDoor – GhostFetch에 의해 전달되는 2단계 백도어; 인터랙티브 쉘, 파일 읽기/쓰기 기능을 제공하고 GhostFetch을 재실행할 수 있음.
• HTTP_VIP – 네이티브 다운로더로 시스템 정찰을 수행하고, 외부 서버(codefusiontech[.]org)와 인증을 위해 통신하며, C2 서버에서 AnyDesk를 배포함. 최신 변종은 피해자 정보를 수집하고, 인터랙티브 쉘을 시작하며, 파일 다운로드/업로드, 클립보드 내용 캡처, 슬립/비콘 간격 조정도 가능.
• CHAR – Telegram 봇(첫 이름 “Olalampo”, 사용자명 stager_51_bot)을 통해 제어되는 Rust 백도어로, 디렉터리 변경 및 cmd.exe 또는 PowerShell 명령 실행이 가능.

“이러한 공격은 유사한 패턴을 따르며, MuddyWater 작전에서 이전에 관찰된 킬‑체인과 일치합니다: 악성 매크로가 포함된 Microsoft Office 문서가 첨부된 피싱 이메일이 임베디드 페이로드를 디코딩하고 시스템에 드롭한 뒤, 공격자에게 원격 제어를 제공합니다,” – Group‑IB (source).

Typical Attack Chains

1. Malicious Excel document – 사용자가 매크로를 활성화하도록 유도하고, 이는 CHAR 백도어를 배포합니다.
2. Variant with GhostFetch – 매크로가 GhostFetch을 배포하고, 그 후 GhostFetch이 GhostBackDoor를 다운로드합니다.
3. Phishing lure (flight tickets, reports, or energy/marine services company) – HTTP_VIP 다운로더를 전달하고, 이는 원격 액세스를 위해 AnyDesk를 설치합니다.

공격의 세 번째 버전은 항공권 및 보고서와 같은 주제를 사용하여 HTTP_VIP를 배포하고, 이후 AnyDesk를 배포합니다.

킬‑체인 일러스트레이션

PowerShell 명령은 최종 단계에서 다음을 수행할 수 있습니다:

• SOCKS5 역방향 프록시 또는 Kalim이라는 다른 백도어를 실행합니다.
• 웹 브라우저에서 탈취한 데이터를 업로드합니다.
• 알 수 없는 바이너리(sh.exe 및 gshdoc_release_X64_GUI.exe)를 실행합니다.

AI‑Assisted Development

Group‑IB의 CHAR 소스 코드 분석 결과 AI‑지원 개발이 드러났습니다—디버그 문자열에 이모지가 포함되어 있어, 생성형 AI가 코딩에 활용된 전형적인 특징입니다. 이는 Google의 2025년 발표와 일치하는데, MuddyWater가 맞춤형 악성코드 개발을 위해 생성형 AI 도구를 실험하고 있었다는 내용입니다 (source).

CHAR 백도어는 Rust 기반 악성코드 BlackBeard( Archer RAT 및 RUSTRIC 라고도 알려짐)와 개발 환경 및 코드 구조를 공유합니다. 이 악성코드는 이전에 CloudSEK와 Seqrite Labs에 의해 중동 지역의 대상들을 겨냥하는 MuddyWater의 도구로 지목되었습니다.

추가 관찰 사항

• MuddyWater는 최근 공개된 취약점을 이용해 외부에 노출된 서버에 초기 접근을 시도하고 있습니다.
• 이 그룹은 명령·제어(C2) 인프라를 지속적으로 다양화하고 AI 기반 도구를 도입하고 있습니다.

“MuddyWater APT 그룹은 META(중동, 터키, 아프리카) 지역에서 여전히 활발한 위협이며, 이번 작전은 주로 MENA 지역의 조직을 목표로 하고 있습니다. AI 기술을 지속적으로 도입하고 맞춤형 악성코드 개발 및 다양화된 C2 인프라와 결합함으로써, 이들의 헌신과 운영 확대 의지를 강조합니다.” – Group‑IB

Follow Us

• Twitter:
• LinkedIn:

Read more exclusive content we post on our social channels.

이 기사 공유하기

// Encode the article URL and title for sharing
var share_url   = encodeURIComponent('https://thehackernews.com/2026/02/muddywater-targets-mena-organizations.html');
var share_title = document.getElementsByTagName("title")[0].innerHTML;
share_title = encodeURIComponent(share_title);

공유 버튼

• 인공지능
• 백도어
• 사이버 보안
• 이란
• 악성코드
• 피싱
• 원격 액세스 소프트웨어
• 위협 인텔리전스
• 취약점