# Operation Olalampo > [!warning] APT iraniano com C2 descentralizado via blockchain Ethereum > A Operation Olalampo e uma campanha de espionagem atribuida ao MuddyWater (MOIS, Ira), ativa em 2025, que introduziu o backdoor Dindoor baseado em Deno.js com infraestrutura de comando e controle descentralizada via contrato inteligente Ethereum. Os alvos incluem setores financeiro, governamental e de defesa nos EUA, Canada e Israel. ## Visão Geral A **Operation Olalampo** representa uma evolução técnica significativa nas capacidades do [[g0069-mango-sandstorm|MuddyWater]], grupo vinculado ao Ministerio de Inteligência e Segurança do Ira (MOIS). O nome "Olalampo" foi atribuido por pesquisadores com base em artefatos encontrados no código do malware. A campanha destaca-se pelo uso pioneiro de **infraestrutura C2 descentralizada via blockchain Ethereum**: os comandos sao enviados por meio de um contrato inteligente público (endereco 0x2B77671c), tornando o C2 práticamente indestruivel por takedowns tradicionais de infraestrutura. O backdoor central, **Dindoor**, e desenvolvido sobre o runtime **Deno.js** - uma escolha técnica incomum que oferece acesso nativo a APIs do sistema operacional via JavaScript/TypeScript e dificulta a detecção por soluções de segurança nao familiarizadas com o ambiente Deno. A comunicação ocorre via WebSocket cifrado sobre HTTPS, alternando com consultas diretas ao contrato Ethereum para resiliencia de C2. Essa arquitetura hibrida blockchain/WebSocket torna o Dindoor extremamente resiliente a interrupcoes. O vetor de acesso inicial utiliza **phishing para informações** (T1598), tipicamente spear-phishing com documentos que exploram a confiança das vitimas em contextos financeiros e de defesa. As organizacoes visadas - incluindo setores bancario, aeroportuario e de defesa - refletem as prioridades de inteligência estratégica do MOIS. Embora o impacto direto na América Latina sejá limitado, a técnica de C2 via blockchain e transferivel para outros grupos de ameaça e representa um vetor emergente de preocupacao global. ## Attack Flow - Operation Olalampo ```mermaid graph TB A["🎯 Phishing para Informacoes<br/>T1598 - spear-phishing inicial"] --> B["🦕 Dindoor via Deno.js<br/>Runtime Node multiplataforma"] B --> C["⛓ C2 via Blockchain<br/>Contrato Ethereum 0x2B77671c"] C --> D["🌐 WebSocket + HTTPS<br/>Canal cifrado e resiliente"] D --> E["🔍 Reconhecimento e Coleta<br/>Dados bancarios, defesa, infra"] E --> F["💀 Espionagem MOIS<br/>Banco, aeroporto, defesa alvejados"] classDef initial fill:#1a2a3a,color:#aaccff,stroke:#2980b9 classDef c2 fill:#2a3a1a,color:#aaffaa,stroke:#27ae60 classDef impact fill:#3a2a1a,color:#ffcc88,stroke:#e67e22 class A,B initial class C,D c2 class E,F impact ``` ## Visão Geral A **Operation Olalampo** é uma campanha ativa conduzida pelo grupo [[g0069-mango-sandstorm|MuddyWater]], vinculado ao [[MOIS]] (Ministério de Inteligência e Segurança do Irã). Iniciada em 2025, a campanha representa uma evolução significativa nas capacidades técnicas do grupo, com a introdução do backdoor [[dindoor]] baseado em [[Deno]].js e infraestrutura C2 descentralizada via contratos [[Ethereum]] blockchain. O nome "Olalampo" foi atribuído por pesquisadores de segurança com base em artefatos encontrados no código do malware. A campanha demonstra a crescente sofisticação operacional de grupos APT iranianos no cenário de ameaças global. ## Alvos e Escopo Os alvos identificados da Operation Olalampo incluem organizações de alto valor estratégico em três países: um banco americano de grande porte, um aeroporto nos [[EUA]], uma organização nonprofit no [[Canadá]] e uma empresa do [[defense|setor de defesa]] em [[Israel]]. A seleção de alvos reflete os interesses geopolíticos do [[Irã]], combinando coleta de inteligência financeira ([[financial|setor financeiro]]), espionagem de infraestrutura de transporte ([[critical-infrastructure|infraestrutura crítica]]) e monitoramento do [[defense|setor de defesa]] de adversários regionais. Não há indicações de impacto direto na [[latam|América Latina]] até o momento, mas o padrão operacional do [[g0069-mango-sandstorm|MuddyWater]] sugere possível expansão futura para alvos em países com relações comerciais estratégicas com o Irã. ## Arsenal Técnico O arsenal da campanha é centrado no [[dindoor]], um backdoor inovador que utiliza o runtime Deno.js para execução multiplataforma com baixa detecção. A comunicação C2 emprega [[WebSocket]] e HTTPS como canais primários, com resolução de endereços C2 via contrato [[Ethereum]] `0x2B77671c` - uma técnica ([[t1102-web-service|T1102 - Web Service]]) que torna a infraestrutura resiliente a takedowns. O componente secundário **Fakeset** provê funcionalidades auxiliares de persistência e evasão. As técnicas MITRE observadas incluem uso de [[t1059-007-javascript|T1059.007 - JavaScript]] (Deno runtime), [[t1598-phishing-for-information|T1598 - Phishing for Information]] como vetor de acesso inicial, e [[t1027-obfuscated-files|T1027 - Obfuscated Files or Information]] para evasão de detecção. ## Indicadores e Recomendações Os principais indicadores de comprometimento associados à Operation Olalampo incluem: IP `185.236.25.119` (servidor C2 apelidado "Tsundere"), `193.17.183.126` e `89.40.31.242`. Certificados TLS auto-assinados com CNs "Amy Cherne" e "Donald Gay" são marcadores fortes da infraestrutura do [[dindoor]]. Organizações nos setores [[financial]], [[government|governamental]] e [[defense]] devem priorizar a integração desses IoCs em suas plataformas de [[SIEM]] e [[Threat Intelligence Platform]]. Monitoramento de execução de Deno.js em endpoints, análise de tráfego para chamadas [[Ethereum]] RPC e inspeção de certificados TLS são controles recomendados para detecção precoce. ## Impacto A campanha comprometeu alvos de alto valor estratégico nos EUA, Canadá e Israel - incluindo infraestrutura bancária, aeroportuária e de defesa. O uso de C2 via blockchain Ethereum é notável pois torna a infraestrutura resiliente a takedowns tradicionais: mesmo que servidores sejam derrubados, o endereço do novo C2 pode ser recuperado via contrato inteligente imutável. Esta inovação técnica representa um avanço significativo em resiliência operacional para o [[g0069-mango-sandstorm|MuddyWater]]. ## Relevância LATAM/Brasil Embora os alvos confirmados estejam nos EUA, Canadá e Israel, o padrão operacional do [[g0069-mango-sandstorm|MuddyWater]] pode expandir para outros países conforme interesses geopolíticos iranianos evoluem. O Brasil mantém relações comerciais e diplomáticas com o Irã, tornando organizações governamentais brasileiras potencialmente relevantes para coleta de inteligência iraniana. Bancos, aeroportos e empresas de defesa brasileiros devem monitorar execução de processos Deno.js em endpoints como indicador de comprometimento pela campanha Olalampo.