درب پشتی SloppyMIO

یک عامل تهدید فارسی‌زبان که به نظر می‌رسد با منافع دولت ایران همسو باشد، مظنون به سازماندهی یک کمپین جاسوسی سایبری جدید است که سازمان‌های غیردولتی و افراد درگیر در مستندسازی نقض‌های اخیر حقوق بشر را هدف قرار می‌دهد. محققان امنیتی این فعالیت را در ژانویه ۲۰۲۶ شناسایی کرده و نام رمز RedKitten را به آن اختصاص دادند.

زمینه سیاسی و استراتژی هدف‌گیری

این کمپین با ناآرامی‌های گسترده در ایران که از اواخر سال ۲۰۲۵ آغاز شد و ناشی از تورم شدید، افزایش قیمت مواد غذایی و کاهش شدید ارزش پول ملی بود، همپوشانی نزدیکی دارد. بنا به گزارش‌ها، سرکوب‌های بعدی دولت منجر به تلفات قابل توجه و اختلالات طولانی مدت اینترنت شد. به نظر می‌رسد این عملیات برای سوءاستفاده از این محیط با هدف قرار دادن افرادی که در جستجوی اطلاعات در مورد معترضان مفقود یا فوت شده هستند، طراحی شده است و از پریشانی عاطفی برای القای فوریت و کاهش بدبینی استفاده می‌کند.

بردار آلودگی اولیه و توسعه مبتنی بر LLM

زنجیره نفوذ با یک آرشیو 7-Zip با نام فایلی به زبان فارسی آغاز می‌شود. درون آن صفحات گسترده مایکروسافت اکسل حاوی ماکروهای مخرب قرار دارد. این فایل‌های XLSM ظاهراً فهرستی از معترضان کشته‌شده در تهران بین ۲۲ دسامبر ۲۰۲۵ و ۲۰ ژانویه ۲۰۲۶ را ارائه می‌دهند؛ با این حال، تناقضاتی مانند عدم تطابق سن و تاریخ تولد نشان می‌دهد که داده‌ها ساختگی هستند. هنگامی که ماکروها فعال می‌شوند، یک دراپر مبتنی بر VBA یک ایمپلنت C# به نام 'AppVStreamingUX_Multi_User.dll' را با استفاده از تزریق AppDomainManager مستقر می‌کند.

تحلیل کد نشان می‌دهد که بر اساس ساختار ماکرو، قراردادهای نامگذاری و نظرات جاسازی‌شده شبیه به دستورات خودکار یا آموزشی، احتمالاً از مدل‌های زبانی بزرگ در توسعه استفاده شده است.

معماری و قابلیت‌های درب پشتی SloppyMIO

این درِ پشتیِ کاشته‌شده که با نام SloppyMIO ردیابی می‌شود، به شدت به پلتفرم‌های ابری و همکاری قانونی متکی است. گیت‌هاب به عنوان یک ابزارِ حل‌کننده‌ی فایل‌های مخرب برای به دست آوردن URLهای گوگل درایو که میزبان تصاویری هستند که داده‌های پیکربندی را از طریق استگانوگرافی پنهان می‌کنند، استفاده می‌شود. تنظیمات استخراج‌شده شامل اعتبارنامه‌های ربات تلگرام، شناسه‌های چت و لینک‌هایی به فایل‌های مخرب اضافی است.

SloppyMIO از چندین ماژول عملکردی پشتیبانی می‌کند که امکان اجرای دستور، جمع‌آوری و استخراج فایل، استقرار پیلود، پایداری از طریق وظایف زمان‌بندی‌شده و اجرای فرآیند را فراهم می‌کنند. این بدافزار می‌تواند این ماژول‌ها را بر اساس تقاضا دانلود، ذخیره و اجرا کند و به اپراتورها کنترل گسترده‌ای بر سیستم‌های آسیب‌دیده بدهد.

ماژول‌های تابعی پشتیبانی‌شده عبارتند از:

• اجرای دستور از طریق مفسر دستور ویندوز
• جمع‌آوری فایل و استخراج فایل مبتنی بر ZIP با حجمی متناسب با محدودیت‌های API تلگرام

فراتر از تحویل بار داده ماژولار، SloppyMIO با استفاده از API ربات تلگرام، ارتباط مداوم با اپراتورهای خود را حفظ می‌کند. این ایمپلنت وضعیت سیستم را نشان می‌دهد، دستورالعمل‌ها را بررسی می‌کند و داده‌های جمع‌آوری‌شده را از طریق چت‌های تلگرام منتقل می‌کند، در عین حال از وظایف مستقیم از یک نقطه پایانی فرمان و کنترل جداگانه نیز پشتیبانی می‌کند.

دستورات اپراتور مشاهده شده عبارتند از:

• فعال کردن جمع‌آوری و استخراج فایل‌ها
• اجرای دستورات دلخواه shell
• راه‌اندازی برنامه‌ها یا فرآیندهای مشخص‌شده

انتساب و شباهت‌های تاریخی

انتساب این حمله به بازیگران همسو با ایران بر اساس چندین شاخص است: مصنوعات فارسی زبان، مضامین فریبنده مرتبط با ناآرامی‌های داخلی و همپوشانی تاکتیکی با کمپین‌های قبلی. نکته قابل توجه این است که شباهت‌هایی با عملیات منتسب به Tortoiseshell وجود دارد که قبلاً از فایل‌های مخرب اکسل و تزریق AppDomainManager سوءاستفاده می‌کرد، و همچنین یک کمپین 2022 مرتبط با یک زیرگروه Nemesis Kitten که از GitHub برای توزیع درب پشتی Drokbk استفاده می‌کرد. استفاده روزافزون از ابزارهای مبتنی بر هوش مصنوعی، تمایز بازیگران و اطمینان از انتساب را پیچیده‌تر می‌کند.

عملیات فیشینگ موازی و تأثیر گسترده‌تر

به طور جداگانه، محققان یک کمپین فیشینگ را که از طریق واتس‌اپ ارائه می‌شود، افشا کردند که از یک رابط کاربری جعلی واتس‌اپ وب میزبانی شده در دامنه DuckDNS استفاده می‌کند. این صفحه به طور مداوم از یک نقطه پایانی تحت کنترل مهاجم نظرسنجی می‌کند تا یک کد QR زنده مرتبط با جلسه وب واتس‌اپ خودِ دشمن را نمایش دهد. قربانیان با اسکن کد، ناآگاهانه مهاجم را تأیید می‌کنند و به او دسترسی کامل به حساب کاربری می‌دهند. زیرساخت فیشینگ همچنین مجوزهای مرورگر را برای دسترسی به دوربین، میکروفون و موقعیت مکانی جستجو می‌کند و عملاً امکان نظارت بلادرنگ را فراهم می‌کند.

یافته‌های بیشتر نشان می‌دهد فعالیت‌های مرتبطی با هدف سرقت اطلاعات حساب‌های جیمیل، از جمله رمزهای عبور و کدهای احراز هویت دو مرحله‌ای، از طریق صفحات ورود جعلی انجام شده است. تقریباً ۵۰ نفر تحت تأثیر قرار گرفته‌اند که شامل اعضای جامعه کرد، دانشگاهیان، پرسنل دولتی، رهبران تجاری و سایر چهره‌های سرشناس می‌شوند. گردانندگان این تلاش‌های فیشینگ و انگیزه‌های دقیق آنها هنوز تأیید نشده است.

فنون عملیاتی و پیامدهای دفاعی

استفاده گسترده از پلتفرم‌های کالایی‌شده مانند گیت‌هاب، گوگل درایو و تلگرام، ردیابی سنتی مبتنی بر زیرساخت را مختل می‌کند و همزمان ابرداده‌های قابل سوءاستفاده و خطرات امنیتی عملیاتی را برای مهاجمان ایجاد می‌کند. کمپین‌هایی مانند RedKitten، همراه با پذیرش روزافزون هوش مصنوعی توسط مهاجمان، بر نیاز مدافعان به تمرکز بر تحلیل رفتاری، اعتبارسنجی محتوا و آگاهی کاربر به جای تکیه صرف بر شاخص‌های زیرساختی تأکید می‌کنند.