MuddyWater针对MENA组织的GhostFetch、CHAR和HTTP_VIP

Source: The Hacker News

作者 Ravie Lakshmanan – 2026年2月23日 – 威胁情报 / 人工智能

新恶意软件家族

• GhostFetch – 首阶段下载器，会对系统进行画像、验证鼠标移动、检查屏幕分辨率、检测调试器、虚拟机痕迹以及防病毒软件，然后在内存中获取并执行二级负载。
• GhostBackDoor – 由 GhostFetch 投放的二阶段后门；提供交互式 shell、文件读写功能，并且可以重新运行 GhostFetch。
• HTTP_VIP – 原生下载器，执行系统侦察，联系外部服务器 (codefusiontech[.]org) 进行认证，并从 C2 服务器部署 AnyDesk。更新的变体还能获取受害者信息、启动交互式 shell、下载/上传文件、捕获剪贴板内容，并调整休眠/信标间隔。
• CHAR – 通过 Telegram 机器人（首名 “Olalampo”，用户名 stager_51_bot）控制的 Rust 后门，可更改目录并执行 cmd.exe 或 PowerShell 命令。

“这些攻击遵循相似的模式，并与此前在 MuddyWater 行动中观察到的杀伤链保持一致：通过包含恶意宏的 Microsoft Office 文档进行钓鱼邮件投递，宏解码嵌入的负载，将其写入系统，并赋予对手远程控制能力，” – Group‑IB (source).

典型攻击链

1. 恶意 Excel 文档 – 提示用户启用宏，从而投放 CHAR 后门。
2. 带 GhostFetch 的变体 – 宏投放 GhostFetch，随后下载 GhostBackDoor。
3. 钓鱼诱饵（机票、报告或能源/海事服务公司） – 交付 HTTP_VIP 下载器，安装 AnyDesk 以实现远程访问。

第三种攻击版本使用机票和报告等主题（而非能源服务诱饵）来分发 HTTP_VIP，随后部署 AnyDesk。

Kill‑Chain 示意图

PowerShell 命令在最终阶段可以：

• 启动一个 SOCKS5 反向代理或另一个名为 Kalim 的后门。
• 上传从网页浏览器窃取的数据。
• 执行未知的二进制文件（sh.exe 和 gshdoc_release_X64_GUI.exe）。

AI 辅助开发

Group‑IB 对 CHAR 源代码的分析显示出 AI 辅助开发——调试字符串中包含表情符号，这是生成式 AI 编码的标志。这与 Google 2025 年的披露 相吻合，即 MuddyWater 正在尝试使用生成式 AI 工具进行定制恶意软件开发（source）。

CHAR 后门与基于 Rust 的恶意软件 BlackBeard（亦称 Archer RAT 与 RUSTRIC）共享开发环境和代码结构，后者此前已被 CloudSEK 和 Seqrite Labs 标记为 MuddyWater 用于针对中东地区实体的工具。

其他观察

• MuddyWater 正在利用最近披露的公共服务器漏洞获取初始访问权限。
• 该组织持续多样化其指挥与控制（C2）基础设施，并采用 AI 驱动的工具。

“MuddyWater APT 组织仍然是 META（中东、土耳其和非洲）地区的活跃威胁，此次行动主要针对 MENA 区域的组织。他们持续采用 AI 技术，结合定制恶意软件开发和多样化的 C2 基础设施，凸显了其扩展行动的决心和意图。” – Group‑IB

关注我们

• Twitter:
• LinkedIn:

阅读我们在社交渠道上发布的更多独家内容。

分享此文章

// Encode the article URL and title for sharing
var share_url   = encodeURIComponent('https://thehackernews.com/2026/02/muddywater-targets-mena-organizations.html');
var share_title = document.getElementsByTagName("title")[0].innerHTML;
share_title = encodeURIComponent(share_title);

分享按钮

Tags

• 人工智能
• 后门
• 网络安全
• 伊朗
• 恶意软件
• 网络钓鱼
• 远程访问软件
• 威胁情报
• 漏洞