Publié le 23 février 2026. Un groupe de pirates informatiques iranien, connu sous le nom de « Eau boueuse », a lancé une nouvelle campagne d’attaques ciblant des organisations et des individus au Moyen-Orient et en Afrique du Nord, en utilisant des logiciels malveillants sophistiqués et, potentiellement, l’intelligence artificielle.
- Le groupe « Eau boueuse » déploie de nouvelles familles de logiciels malveillants, dont GhostFetch, HTTP_VIP, CHAR et GhostBackDoor.
- Les attaques débutent généralement par des courriels de phishing contenant des documents Microsoft Office malveillants.
- Des signes indiquent que le groupe explore l’utilisation de l’intelligence artificielle pour développer ses outils malveillants.
Le groupe de hackers iranien « Eau boueuse » (également connu sous les noms de Earth Vetala, Mango Sandstorm et MUDDYCOAST) a intensifié ses activités dans la région du Moyen-Orient et de l’Afrique du Nord (MENA) avec une nouvelle campagne baptisée « Opération Olalampo ». Selon un rapport de Group-IB, cette campagne, observée à partir du 26 janvier 2026, est caractérisée par le déploiement de nouveaux logiciels malveillants qui partagent des éléments avec des outils précédemment utilisés par ce groupe.
Les attaques suivent un schéma classique : un courriel de phishing est envoyé à la cible, contenant un document Microsoft Office piégé. L’ouverture de ce document active une macro malveillante qui décode et exécute une charge utile, donnant ainsi aux attaquants un contrôle à distance du système compromis. Group-IB explique que « ces attaques suivent des modèles similaires et s’alignent sur les killchains précédemment observés dans les attaques MuddyWater ».
Plusieurs vecteurs d’attaque ont été identifiés. Dans l’un d’eux, un document Microsoft Excel malveillant invite l’utilisateur à activer les macros pour activer l’infection et finalement déployer CHAR. Une autre variante utilise le téléchargeur GhostFetch, qui télécharge ensuite GhostBackDoor. Une troisième version exploite des thèmes tels que des billets d’avion ou des rapports, en utilisant des leurres imitant une société de services énergétiques et maritimes basée au Moyen-Orient, pour distribuer le téléchargeur HTTP_VIP, qui déploie ensuite le logiciel de bureau à distance AnyDesk.
Les outils utilisés par « Eau boueuse » comprennent :
- GhostFetch : un téléchargeur initial qui profile le système de la victime, vérifie la présence de débogueurs, de machines virtuelles et d’antivirus, et exécute ensuite des charges utiles secondaires en mémoire.
- GhostBackDoor : une porte dérobée de deuxième étape fournie par GhostFetch, offrant un shell interactif, la lecture et l’écriture de fichiers, et la possibilité de réexécuter GhostFetch.
- HTTP_VIP : un téléchargeur natif qui effectue une reconnaissance du système, se connecte à un serveur externe (« codefusiontech[.]org ») pour s’authentifier et déployer AnyDesk. Une nouvelle variante permet également de collecter des informations sur la victime et de télécharger/télécharger des fichiers.
- CHAR : une porte dérobée Rust contrôlée par un bot Telegram (nom d’utilisateur « stager_51_bot ») permettant d’exécuter des commandes cmd.exe ou PowerShell.
L’analyse du code source de CHAR a révélé des indices suggérant l’utilisation d’outils d’intelligence artificielle (IA) dans son développement, notamment la présence d’émojis dans les chaînes de débogage. Cette observation fait écho aux révélations de Google l’année dernière concernant l’expérimentation d’outils d’IA générative par des acteurs malveillants pour créer des logiciels malveillants personnalisés.
De plus, CHAR présente des similitudes structurelles et environnementales avec le malware basé sur Rust connu sous le nom de Blackout (alias Archer RAT et RUSTRIC), utilisé par un autre acteur menaçant ciblant également des entités au Moyen-Orient. « Eau boueuse » a également été observé exploitant des vulnérabilités récemment découvertes sur des serveurs publics pour obtenir un accès initial aux réseaux cibles.
Selon les experts, le groupe « Eau boueuse » reste une menace active dans la région MENA. Son adoption continue de technologies telles que l’IA, combinée au développement constant de nouveaux logiciels malveillants et d’infrastructures de commande et de contrôle diversifiées, témoigne de son engagement et de son intention d’étendre ses opérations.