باب خلفي لـ SluppyMIO

يُشتبه في قيام جهة تهديد تتحدث الفارسية، يُعتقد أنها متحالفة مع مصالح الدولة الإيرانية، بتدبير حملة تجسس إلكتروني جديدة تستهدف منظمات غير حكومية وأفرادًا يعملون على توثيق انتهاكات حقوق الإنسان الأخيرة. وقد رصد باحثون أمنيون هذا النشاط في يناير/كانون الثاني 2026، وأطلقوا عليه الاسم الرمزي "ريد كيتن".

السياق السياسي واستراتيجية الاستهداف

تتزامن هذه الحملة بشكل وثيق مع الاضطرابات الواسعة النطاق في إيران التي بدأت أواخر عام 2025، مدفوعةً بالتضخم الحاد، وارتفاع أسعار المواد الغذائية، والانخفاض الحاد في قيمة العملة. وأفادت التقارير أن حملات القمع الحكومية اللاحقة أسفرت عن خسائر بشرية كبيرة وانقطاعات مطولة في الإنترنت. ويبدو أن العملية مصممة لاستغلال هذا الوضع من خلال استهداف الأشخاص الذين يبحثون عن معلومات حول المتظاهرين المفقودين أو القتلى، مستغلةً الضغط النفسي لإثارة حالة من الاستعجال وتقليل الشكوك.

ناقل العدوى الأولي والتطوير المدفوع بـ LLM

تبدأ سلسلة الاختراق بملف مضغوط بصيغة 7-Zip يحمل اسم ملف باللغة الفارسية. يحتوي هذا الملف على جداول بيانات مايكروسوفت إكسل تتضمن وحدات ماكرو خبيثة. تزعم هذه الملفات (XLSM) أنها تسرد أسماء المتظاهرين الذين قُتلوا في طهران بين 22 ديسمبر 2025 و20 يناير 2026؛ إلا أن التناقضات، مثل اختلاف الأعمار وتواريخ الميلاد، تشير إلى أن البيانات مُلفقة. عند تفعيل وحدات الماكرو، يقوم برنامج خبيث قائم على لغة VBA بتثبيت برنامج خبيث مكتوب بلغة C# باسم 'AppVStreamingUX_Multi_User.dll' باستخدام حقن AppDomainManager.

يشير تحليل الشفرة إلى أنه من المحتمل استخدام نماذج لغوية كبيرة في عملية التطوير، وذلك بناءً على بنية الماكرو، واتفاقيات التسمية، والتعليقات المضمنة التي تشبه المطالبات الآلية أو التعليمية.

بنية وقدرات الباب الخلفي لـ SloppyMIO

تعتمد الثغرة الأمنية المزروعة، والتي تُعرف باسم SloppyMIO، بشكل كبير على منصات الحوسبة السحابية والتعاونية المشروعة. يُستخدم GitHub كخادم وسيط للحصول على روابط Google Drive التي تستضيف صورًا تُخفي بيانات التكوين باستخدام تقنية إخفاء المعلومات. تشمل الإعدادات المستخرجة بيانات اعتماد روبوتات Telegram، ومعرّفات المحادثات، وروابط لحمولات إضافية.

يدعم برنامج SloppyMIO الخبيث وحدات وظيفية متعددة تُمكّن من تنفيذ الأوامر، وجمع الملفات واستخراجها، ونشر الحمولة، والاستمرار في العمل من خلال المهام المجدولة، وتنفيذ العمليات. يستطيع هذا البرنامج تنزيل هذه الوحدات وتخزينها مؤقتًا وتشغيلها عند الطلب، مما يمنح المشغلين تحكمًا واسعًا في الأنظمة المخترقة.

تشمل الوحدات الوظيفية المدعومة ما يلي:

• تنفيذ الأوامر عبر مترجم أوامر ويندوز
• تم تحديد حجم جمع الملفات وتسريبها باستخدام ملفات ZIP وفقًا لحدود واجهة برمجة تطبيقات Telegram.

إلى جانب توصيل الحمولة المعيارية، تحافظ SloppyMIO على اتصال مستمر مع مشغليها باستخدام واجهة برمجة تطبيقات Telegram Bot. وتقوم أجهزة الإرسال المزروعة بفحص حالة النظام، واستطلاع التعليمات، ونقل البيانات المجمعة عبر محادثات Telegram، مع دعمها أيضًا لتنفيذ المهام مباشرةً من نقطة تحكم منفصلة.

تتضمن أوامر المشغل التي تم رصدها ما يلي:

• تفعيل عملية جمع الملفات واستخراجها
• تنفيذ أوامر shell عشوائية
• تشغيل تطبيقات أو عمليات محددة

الإسناد والموازيات التاريخية

يستند تحديد الجهات الفاعلة الموالية لإيران إلى مؤشرات متعددة: آثار باللغة الفارسية، وأساليب استدراج مرتبطة بالاضطرابات الداخلية، وتداخل تكتيكي مع حملات سابقة. ومن الجدير بالذكر وجود أوجه تشابه مع عمليات نُسبت إلى مجموعة "تورتويسشيل"، التي سبق لها استغلال ملفات إكسل خبيثة وحقن AppDomainManager، بالإضافة إلى حملة عام 2022 المرتبطة بمجموعة فرعية من "نيميسيس كيتن" استخدمت منصة GitHub لتوزيع باب "دروكبك" الخلفي. ويزيد الاستخدام المتزايد للأدوات المدعومة بالذكاء الاصطناعي من تعقيد عملية التمييز بين الجهات الفاعلة وتحديد مصدر الهجمات بدقة.

عمليات التصيد الاحتيالي المتوازية وتأثيرها الأوسع

في سياق منفصل، كشف المحققون عن حملة تصيد احتيالي تُنفذ عبر تطبيق واتساب، باستخدام واجهة واتساب ويب مزيفة مُستضافة على نطاق DuckDNS. تقوم الصفحة باستطلاع مستمر لنقطة نهاية يتحكم بها المهاجم لعرض رمز QR مباشر مرتبط بجلسة واتساب ويب الخاصة به. يقوم الضحايا بمسح الرمز دون علمهم، مما يُتيح للمهاجم الوصول الكامل إلى حساباتهم. كما تسعى بنية التصيد الاحتيالي إلى الحصول على أذونات المتصفح للوصول إلى الكاميرا والميكروفون وتحديد الموقع الجغرافي، مما يُتيح فعليًا المراقبة في الوقت الفعلي.

تشير نتائج إضافية إلى وجود نشاط ذي صلة يهدف إلى سرقة بيانات اعتماد Gmail، بما في ذلك كلمات المرور ورموز المصادقة الثنائية، عبر صفحات تسجيل دخول مزيفة. وقد تضرر نحو 50 شخصًا، من بينهم أفراد من المجتمع الكردي، وأكاديميون، وموظفون حكوميون، وقادة أعمال، وشخصيات بارزة أخرى. ولا تزال هوية القائمين على هذه المحاولات الاحتيالية ودوافعهم الدقيقة غير مؤكدة.

المهارات العملياتية والآثار الدفاعية

يُعيق الاستخدام الواسع النطاق للمنصات التجارية مثل GitHub وGoogle Drive وTelegram عمليات التتبع التقليدية القائمة على البنية التحتية، ويُعرّض في الوقت نفسه بيانات التعريف القابلة للاستغلال ومخاطر أمنية تشغيلية للمهاجمين. وبالتزامن مع تزايد اعتماد الجهات الفاعلة في مجال التهديدات على الذكاء الاصطناعي، تُؤكد حملات مثل RedKitten على ضرورة تركيز المدافعين على تحليل السلوك، والتحقق من صحة المحتوى، وتوعية المستخدمين، بدلاً من الاعتماد فقط على مؤشرات البنية التحتية.