SloppyMIO tagauks
Iraani riigi huvidega seotud farsi keelt kõnelevat ohutegelast kahtlustatakse uue küberspionaažikampaania korraldamises, mis on suunatud valitsusvälistele organisatsioonidele ja isikutele, kes on seotud hiljutiste inimõiguste rikkumiste dokumenteerimisega. Julgeolekuuurijad tuvastasid tegevuse 2026. aasta jaanuaris ja andsid sellele koodnime RedKitten.
Sisukord
Poliitiline kontekst ja sihtimisstrateegia
Kampaania kattub tihedalt Iraanis 2025. aasta lõpus alanud laialdaste rahutustega, mida ajendasid järsk inflatsioon, toiduainete hinnatõus ja valuuta järsk devalveerimine. Hilisemad valitsuse mahasurumised põhjustasid väidetavalt märkimisväärseid inimohvreid ja pikaajalisi internetikatkestusi. Operatsioon näib olevat loodud selleks, et seda keskkonda ära kasutada, meelitades ligi inimesi, kes otsivad teavet kadunud või surnud meeleavaldajate kohta, kasutades ära emotsionaalset stressi, et tekitada kiireloomulisust ja vähendada skeptitsismi.
Esialgne nakkusvektor ja LLM-põhine areng
Sissetungimisahel algab 7-Zip arhiiviga, mille failinimi on farsi keeles. Sees on Microsoft Exceli arvutustabelid, mis sisaldavad pahatahtlikke makrosid. Need XLSM-failid väidetavalt loetlevad Teheranis 22. detsembri 2025 ja 20. jaanuari 2026 vahel tapetud meeleavaldajaid; ebakõlad, näiteks vanuse ja sünnikuupäevade erinevus, viitavad aga andmete fabritseerimisele. Kui makrod on lubatud, juurutab VBA-põhine dropper AppDomainManageri süstimise abil C# implantaadi nimega 'AppVStraamingUX_Multi_User.dll'.
Koodianalüüs viitab sellele, et arenduses kasutati tõenäoliselt suuri keelemudeleid, mis põhinevad makro struktuuril, nimetamiskonventsioonidel ja manustatud kommentaaridel, mis meenutavad automatiseeritud või juhendavaid viipasid.
SloppyMIO tagaukse arhitektuur ja võimalused
Sisestatud tagauks, mida jälgitakse kui SloppyMIO, tugineb suuresti legitiimsetele pilve- ja koostööplatvormidele. GitHubi kasutatakse surnud ringi lahendajana, et hankida Google Drive'i URL-e, mis majutavad steganograafia abil konfiguratsiooniandmeid varjavaid pilte. Ekstraheeritud sätete hulka kuuluvad Telegrami boti identimisandmed, vestluse identifikaatorid ja lingid täiendavatele kasulikele koormustele.
SloppyMIO toetab mitut funktsionaalset moodulit, mis võimaldavad käskude täitmist, failide kogumist ja väljafiltreerimist, kasuliku koormuse paigutamist, ajastatud ülesannete ajal andmete säilitamist ja protsesside täitmist. Pahavara saab neid mooduleid nõudmisel alla laadida, vahemällu salvestada ja käivitada, andes operaatoritele laia kontrolli ohustatud süsteemide üle.
Toetatud funktsionaalsed moodulid hõlmavad järgmist:
- Käskude täitmine Windowsi käsutõlgi kaudu
- Failide kogumine ja ZIP-põhine väljafiltreerimine Telegram API piirangute järgi
- Faili kirjutamine kohalikku rakenduse andmekataloogi pildikodeeringuga kasulike koormuste abil
- Ajastatud ülesannete loomine korduvaks täitmiseks
- Meelevaldse protsessi algatamine
- Käsklus ja kontroll Telegrami kaudu
Lisaks modulaarsele kasuliku koormuse edastamisele hoiab SloppyMIO oma operaatoritega pidevat sidet Telegram Bot API kaudu. Implantaat annab märku süsteemi olekust, küsib juhiseid ja edastab kogutud andmeid Telegrami vestluste kaudu, toetades samal ajal ka otsest ülesannete jagamist eraldi juhtimis- ja kontrollpunktist.
Vaadeldavate operaatori käskude hulka kuuluvad:
- Failide kogumise ja väljafiltreerimise käivitamine
- Suvaliste shellikäskude täitmine
- Määratud rakenduste või protsesside käivitamine
Atributsioon ja ajaloolised paralleelid
Iraani-poolsete tegelaste omistamine põhineb mitmel näitajal: farsi keele artefaktid, kodumaiste rahutustega seotud meelitamisteemad ja taktikaline kattumine varasemate kampaaniatega. Märkimisväärselt esineb sarnasusi Tortoiseshellile omistatud operatsioonidega, mis varem kuritarvitasid pahatahtlikke Exceli faile ja AppDomainManageri süstimist, samuti 2022. aasta kampaaniaga, mis oli seotud Nemesis Kitteni alamklastriga, mis kasutas GitHubi Drokbki tagaukse levitamiseks. Tehisintellektil põhinevate tööriistade üha suurem kasutamine raskendab veelgi osalejate eristamist ja omistamise kindlust.
Paralleelsed andmepüügioperatsioonid ja laiem mõju
Eraldi avalikustasid uurijad WhatsAppi kaudu edastatud andmepüügikampaania, mis kasutab DuckDNS-domeenil majutatud võltsitud WhatsAppi veebiliidest. Leht küsib pidevalt ründaja kontrollitud lõpp-punktilt reaalajas QR-koodi, mis on lingitud vastase enda WhatsAppi veebiseansiga. Koodi skannivad ohvrid autentivad teadmatult ründaja, andes neile täieliku juurdepääsu kontole. Andmepüügiinfrastruktuur küsib ka brauserilt õigusi kaamera, mikrofoni ja geograafilise asukoha juurdepääsuks, võimaldades reaalajas jälgimist.
Lisaleiud viitavad seotud tegevusele, mille eesmärk on varastada Gmaili sisselogimislehti, sealhulgas paroole ja kaheastmelisi autentimiskoode. Mõjutatud on umbes 50 inimest, sealhulgas kurdi kogukonna liikmed, akadeemikud, valitsusametnikud, ärijuhid ja teised kõrgetasemelised tegelased. Nende andmepüügitegevuste taga olevad operaatorid ja nende täpsed motiivid on endiselt kinnitamata.
Operatiivne kaubandus ja kaitsemeetmed
Selliste kaubanduslike platvormide nagu GitHub, Google Drive ja Telegram laialdane kasutamine takistab traditsioonilist infrastruktuuripõhist jälgimist, tuues samal ajal ründajatele kaasa ärakasutatavaid metaandmeid ja operatiivseid turvariske. Koos tehisintellekti kasvava kasutuselevõtuga ohutegelaste poolt rõhutavad sellised kampaaniad nagu RedKitten vajadust, et kaitsjad keskenduksid käitumusanalüüsile, sisu valideerimisele ja kasutajate teadlikkusele, selle asemel et tugineda ainult infrastruktuurinäitajatele.
