SloppyMIO Bagdør
En farsi-talende trusselsaktør, der vurderes at have tilknytning til iranske statslige interesser, er mistænkt for at have orkestreret en ny cyberspionagekampagne rettet mod ikke-statslige organisationer og enkeltpersoner, der er involveret i at dokumentere nylige menneskerettighedskrænkelser. Sikkerhedsforskere identificerede aktiviteten i januar 2026 og gav den kodenavnet RedKitten.
Indholdsfortegnelse
Politisk kontekst og målretningsstrategi
Kampagnen hænger tæt sammen med den udbredte uro i Iran, der begyndte i slutningen af 2025, drevet af kraftig inflation, eskalerende fødevarepriser og alvorlig valutadevaluering. Efterfølgende regeringsrazziaer resulterede angiveligt i betydelige tab og langvarige internetforstyrrelser. Operationen ser ud til at være designet til at udnytte dette miljø ved at udnytte folk, der søger efter information om savnede eller afdøde demonstranter, og udnytte følelsesmæssig nød til at fremkalde hastende handlinger og mindske skepsis.
Initial infektionsvektor og LLM-drevet udvikling
Indtrængningskæden begynder med et 7-Zip-arkiv med et farsi-sproget filnavn. Indeni findes Microsoft Excel-regneark, der indeholder ondsindede makroer. Disse XLSM-filer angiveligt viser demonstranter dræbt i Teheran mellem 22. december 2025 og 20. januar 2026. Uoverensstemmelser, såsom uoverensstemmelser i alder og fødselsdatoer, indikerer dog, at dataene er fabrikerede. Når makroer er aktiveret, implementerer en VBA-baseret dropper et C#-implantat med navnet 'AppVStreamingUX_Multi_User.dll' ved hjælp af AppDomainManager-injektion.
Kodeanalyse tyder på, at store sprogmodeller sandsynligvis blev brugt i udviklingen, baseret på makroens struktur, navngivningskonventioner og indlejrede kommentarer, der ligner automatiserede eller instruktionsmæssige prompts.
SloppyMIO-bagdørsarkitektur og -funktioner
Den implanterede bagdør, sporet som SloppyMIO, er i høj grad afhængig af legitime cloud- og samarbejdsplatforme. GitHub bruges som en dead drop-resolver til at hente Google Drive-URL'er, der hoster billeder, der skjuler konfigurationsdata via steganografi. Udtrukne indstillinger omfatter Telegram-botlegitimationsoplysninger, chat-id'er og links til yderligere nyttelast.
SloppyMIO understøtter flere funktionelle moduler, der muliggør kommandokørsel, filindsamling og -udrensning, implementering af nyttelast, vedholdenhed gennem planlagte opgaver og procesudførelse. Malwaren kan downloade, cachelagre og køre disse moduler efter behov, hvilket giver operatører bred kontrol over kompromitterede systemer.
Understøttede funktionelle moduler omfatter:
- Kommandoudførelse via Windows-kommandofortolkeren
- Filindsamling og ZIP-baseret eksfiltrering dimensioneret til Telegram API-grænser
- Filskrivning til en lokal applikationsdatamappe ved hjælp af billedkodede nyttelast
- Oprettelse af planlagte opgaver til tilbagevendende udførelse
- Initiering af vilkårlig proces
- Kommando og kontrol via Telegram
Ud over modulær levering af nyttelast opretholder SloppyMIO kontinuerlig kommunikation med sine operatører ved hjælp af Telegram Bot API'en. Implantat-beacons registrerer systemstatus, afspørger instruktioner og transmitterer indsamlede data via Telegram-chats, samtidig med at det understøtter direkte tasking fra et separat kommando-og-kontrol-slutpunkt.
Observerede operatorkommandoer inkluderer:
- Udløsning af filindsamling og -eksfiltrering
- Udførelse af vilkårlige shell-kommandoer
- Start af bestemte applikationer eller processer
Attribuering og historiske paralleller
Tilskrivning til iransk-allierede aktører er baseret på flere indikatorer: farsi-sprogede artefakter, lokkemiddeltemaer knyttet til indenlandske uroligheder og taktisk overlap med tidligere kampagner. Især er der ligheder med operationer tilskrevet Tortoiseshell, som tidligere misbrugte ondsindede Excel-filer og AppDomainManager-injektion, samt en kampagne fra 2022 knyttet til en Nemesis Kitten-underklynge, der brugte GitHub til at distribuere Drokbk-bagdøren. Den stigende brug af AI-assisterede værktøjer komplicerer yderligere aktørdifferentiering og tilskrivningstillid.
Parallelle phishing-operationer og bredere indvirkning
Separat afslørede efterforskere en phishing-kampagne leveret via WhatsApp, der bruger en forfalsket WhatsApp-webgrænseflade, der hostes på et DuckDNS-domæne. Siden afspørger løbende et angriberkontrolleret slutpunkt for at vise en live QR-kode, der er knyttet til angriberens egen WhatsApp-websession. Ofre, der scanner koden, autentificerer ubevidst angriberen og giver fuld adgang til kontoen. Phishing-infrastrukturen søger også browsertilladelser til kamera, mikrofon og geolokation, hvilket effektivt muliggør overvågning i realtid.
Yderligere fund tyder på relateret aktivitet med det formål at indsamle Gmail-legitimationsoplysninger, herunder adgangskoder og tofaktorgodkendelseskoder, via forfalskede login-sider. Omkring 50 personer er blevet berørt, herunder medlemmer af det kurdiske samfund, akademikere, embedsmænd, erhvervsledere og andre højt profilerede personer. Operatørerne bag disse phishing-indsatser og deres præcise motiver forbliver ubekræftede.
Operationelt handelshåndværk og defensive implikationer
Den omfattende brug af kommercialiserede platforme som GitHub, Google Drive og Telegram hæmmer traditionel infrastrukturbaseret sporing, samtidig med at den introducerer udnyttelige metadata og operationelle sikkerhedsrisici for angriberne. Kombineret med den stigende anvendelse af AI blandt trusselsaktører understreger kampagner som RedKitten behovet for, at forsvarere fokuserer på adfærdsanalyse, indholdsvalidering og brugerbevidsthed i stedet for udelukkende at stole på infrastrukturindikatorer.
