Backdoor SloppyMIO

Persky mluvící aktér hrozby, o kterém se předpokládá, že je napojen na zájmy íránského státu, je podezřelý z organizace nové kybernetické špionážní kampaně zaměřené na nevládní organizace a jednotlivce zapojené do dokumentování nedávného porušování lidských práv. Bezpečnostní výzkumníci tuto aktivitu identifikovali v lednu 2026 a přiřadili jí krycí jméno RedKitten.

Politický kontext a strategie cílení

Kampaň se úzce překrývá s rozsáhlými nepokoji v Íránu, které začaly koncem roku 2025 a byly vyvolány prudkou inflací, rostoucími cenami potravin a prudkou devalvací měny. Následné vládní zásahy údajně vedly k značnému počtu obětí a dlouhodobým výpadkům internetu. Zdá se, že operace byla navržena tak, aby zneužila toto prostředí k tomu, aby se zaměřila na lidi hledající informace o pohřešovaných nebo zesnulých protestujících, a zneužila emocionální tíseň k vyvolání naléhavosti a snížení skepticismu.

Počáteční vektor infekce a vývoj řízený LLM

Řetězec narušení začíná archivem 7-Zip s názvem souboru v perštině. Uvnitř se nacházejí tabulky Microsoft Excel obsahující škodlivá makra. Tyto soubory XLSM údajně obsahují seznam protestujících zabitých v Teheránu mezi 22. prosincem 2025 a 20. lednem 2026; nesrovnalosti, jako je neshoda věku a data narození, však naznačují, že data jsou vykonstruována. Pokud jsou makra povolena, dropper založený na VBA nasadí implantát C# s názvem „AppVStreamingUX_Multi_User.dll“ pomocí injekční aplikace AppDomainManager.

Analýza kódu naznačuje, že při vývoji byly pravděpodobně použity rozsáhlé jazykové modely, a to na základě struktury makra, konvencí pojmenování a vložených komentářů připomínajících automatizované nebo instruktážní výzvy.

Architektura a možnosti backdooru SloppyMIO

Implantovaný backdoor, sledovaný jako SloppyMIO, se silně spoléhá na legitimní cloudové a kolaborativní platformy. GitHub se používá jako dead drop resolver pro získávání URL adres z Disku Google, které hostují obrázky, jež pomocí steganografie skrývají konfigurační data. Extrahovaná nastavení zahrnují přihlašovací údaje telegramového bota, identifikátory chatu a odkazy na další datové části.

SloppyMIO podporuje několik funkčních modulů, které umožňují provádění příkazů, sběr a exfiltraci souborů, nasazení dat, perzistenci v rámci naplánovaných úloh a provádění procesů. Malware si může tyto moduly stahovat, ukládat do mezipaměti a spouštět na vyžádání, což operátorům poskytuje širokou kontrolu nad napadenými systémy.

Mezi podporované funkční moduly patří:

• Spuštění příkazu pomocí interpretu příkazů systému Windows
• Sběr souborů a exfiltrace na základě ZIP archivu s odle limitů Telegram API
• Zápis souboru do lokálního adresáře dat aplikace pomocí datových částí kódovaných do obrázků

• Vytvoření plánovaných úloh pro opakované spouštění

• Zahájení libovolného procesu

• Velení a řízení přes Telegram

Kromě modulárního dodávání dat udržuje SloppyMIO nepřetržitou komunikaci se svými operátory pomocí rozhraní Telegram Bot API. Implantátové majáky monitorují stav systému, dotazují se na instrukce a přenášejí shromážděná data prostřednictvím chatů v Telegramu a zároveň podporují přímé zadávání úkolů ze samostatného koncového bodu velení a řízení.

Mezi pozorované příkazy operátora patří:

• Spuštění sběru a exfiltrace souborů
• Spouštění libovolných příkazů shellu
• Spouštění určených aplikací nebo procesů

Atribuce a historické paralely

Připisování aktérům spojeným s Íránem je založeno na řadě ukazatelů: artefakty v perštině, lákavá témata spojená s domácími nepokoji a taktické překrývání s dřívějšími kampaněmi. Zejména existují podobnosti s operacemi připisovanými platformě Tortoiseshell, která dříve zneužívala škodlivé soubory Excel a injection do AppDomainManageru, a také s kampaní z roku 2022 propojenou s podklastrem Nemesis Kitten, který používal GitHub k distribuci backdooru Drokbk. Rostoucí používání nástrojů s podporou umělé inteligence dále komplikuje rozlišení aktérů a jistotu atribuce.

Paralelní phishingové operace a širší dopad

Vyšetřovatelé samostatně odhalili phishingovou kampaň prováděnou prostřednictvím WhatsAppu, která využívá falešné webové rozhraní WhatsApp hostované na doméně DuckDNS. Stránka neustále dotazuje útočníkem ovládaný koncový bod, aby zobrazil živý QR kód propojený s vlastní webovou relací útočníka. Oběti naskenující kód nevědomky ověřují útočníka a poskytují mu plný přístup k účtu. Phishingová infrastruktura také požaduje oprávnění prohlížeče pro přístup k kameře, mikrofonu a geolokaci, což efektivně umožňuje sledování v reálném čase.

Další zjištění naznačují související aktivity zaměřené na získávání přihlašovacích údajů Gmailu, včetně hesel a kódů dvoufaktorového ověřování, prostřednictvím padělaných přihlašovacích stránek. Dotčeno bylo přibližně 50 osob, mezi nimiž byli členové kurdské komunity, akademici, vládní úředníci, vedoucí pracovníci v podnicích a další významné osobnosti. Provozovatelé stojící za těmito phishingovými aktivitami a jejich přesná motivace zůstávají nepotvrzeny.

Operační obchodní řemesla a obranné důsledky

Rozsáhlé využívání komoditizovaných platforem, jako jsou GitHub, Google Drive a Telegram, brzdí tradiční sledování založené na infrastruktuře a zároveň útočníkům představuje zneužitelné metadata a rizika pro operační bezpečnost. V kombinaci s rostoucím využíváním umělé inteligence ze strany aktérů hrozeb kampaně jako RedKitten zdůrazňují potřebu, aby se obránci zaměřili na behaviorální analýzu, validaci obsahu a povědomí uživatelů, spíše než aby se spoléhali pouze na ukazatele infrastruktury.