Monen lisenssin alennustarjous
Uhatietokanta Takaovet SloppyMIO-takaovi

SloppyMIO-takaovi

Vuonna Mezo vuonna Takaovet, Advanced Persistent Threat (APT)
Käännä:

Persiankielistä uhkatoimijaa, jonka arvioidaan olevan sidoksissa Iranin valtion etuihin, epäillään uuden kybervakoilukampanjan järjestämisestä, joka kohdistuu kansalaisjärjestöihin ja yksilöihin, jotka ovat osallistuneet viimeaikaisten ihmisoikeusloukkausten dokumentointiin. Turvallisuustutkijat tunnistivat toiminnan tammikuussa 2026 ja antoivat sille koodinimen RedKitten.

Poliittinen konteksti ja kohdentamisstrategia

Kampanja osuu läheisesti päällekkäin Iranin laajalle levinneiden levottomuuksien kanssa, jotka alkoivat vuoden 2025 lopulla. Levottomuuksia aiheuttivat jyrkkä inflaatio, elintarvikkeiden hintojen nousu ja valuutan voimakas devalvaatio. Myöhempien hallituksen tukahduttamistoimien kerrotaan johtaneen merkittäviin uhreihin ja pitkittyneisiin internet-katkoksiin. Operaatio näyttää olevan suunniteltu hyödyntämään tätä tilannetta hyökkäämällä ihmisten kimppuun, jotka etsivät tietoa kadonneista tai kuolleista mielenosoittajista, ja hyödyntämällä henkistä ahdistusta kiireellisyyden herättämiseksi ja skeptisyyden vähentämiseksi.

Alkuperäinen infektiovektori ja LLM-ohjattu kehitys

Tunkeutumisketju alkaa 7-Zip-tiedostolla, jonka tiedostonimi on farsinkielinen. Tiedoston sisällä on Microsoft Excel -laskentataulukoita, jotka sisältävät haitallisia makroita. Näiden XLSM-tiedostojen väitetään listaavan Teheranissa 22. joulukuuta 2025 ja 20. tammikuuta 2026 välisenä aikana kuolleita mielenosoittajia. Epäjohdonmukaisuudet, kuten yhteensopimattomat iät ja syntymäajat, viittaavat kuitenkin siihen, että tiedot ovat väärennettyjä. Kun makrot ovat käytössä, VBA-pohjainen dropper ottaa käyttöön C#-implantin nimeltä 'AppVStraamingUX_Multi_User.dll' käyttämällä AppDomainManager-injektiota.

Koodianalyysi viittaa siihen, että kehityksessä käytettiin todennäköisesti laajoja kielimalleja, jotka perustuvat makron rakenteeseen, nimeämiskäytäntöihin ja automatisoituja tai ohjekehotteita muistuttaviin upotettuihin kommentteihin.

SloppyMIO-takaportin arkkitehtuuri ja ominaisuudet

Asennettu takaportti, jota jäljitetään nimellä SloppyMIO, nojaa vahvasti laillisiin pilvi- ja yhteistyöalustoihin. GitHubia käytetään dead drop -ratkaisijana Google Driven URL-osoitteiden hankkimiseen steganografian avulla. Sivustolta löytyy Telegram-botin tunnistetietoja, chat-tunnisteita ja linkkejä lisäkuormiin.

SloppyMIO tukee useita toiminnallisia moduuleja, jotka mahdollistavat komentojen suorittamisen, tiedostojen keräämisen ja purkamisen, hyötykuormien käyttöönoton, pysyvyyden ajoitettujen tehtävien aikana ja prosessien suorittamisen. Haittaohjelma voi ladata, tallentaa välimuistiin ja suorittaa näitä moduuleja tarvittaessa, mikä antaa operaattoreille laajan hallinnan vaarantuneisiin järjestelmiin.

Tuettuihin toiminnallisiin moduuleihin kuuluvat:

  • Komentojen suorittaminen Windowsin komentotulkin kautta
  • Tiedostojen kerääminen ja ZIP-pohjainen purku Telegram API -rajoitusten mukaisesti
  • Tiedoston kirjoittaminen paikalliseen sovellustietohakemistoon kuvakoodattujen hyötykuormien avulla
  • Ajoitettujen tehtävien luonti toistuvaa suoritusta varten
  • Mielivaltaisen prosessin aloittaminen
  • Komento ja hallinta Telegramin kautta

Modulaarisen hyötykuorman toimituksen lisäksi SloppyMIO ylläpitää jatkuvaa viestintää operaattoreidensa kanssa Telegram Bot API:n avulla. Implantti lähettää järjestelmän tilan, kyselee ohjeita ja lähettää kerättyä dataa Telegram-keskustelujen kautta tukien samalla suoraa tehtävienantoa erillisestä komento- ja ohjauspäätepisteestä.

Havaittuihin operaattorin komentoihin kuuluvat:

  • Tiedostojen keräämisen ja purkamisen käynnistäminen
  • Mielivaltaisten komentotulkkikomentojen suorittaminen
  • Tiettyjen sovellusten tai prosessien käynnistäminen

Attribuutio ja historialliset rinnastukset

Iranin liittolaisten toimijoiden osoittaminen perustuu useisiin indikaattoreihin: farsinkielisiin esineisiin, kotimaisiin levottomuuksiin liittyviin houkutusteemoihin ja taktiseen päällekkäisyyteen aiempien kampanjoiden kanssa. Merkittäviä yhtäläisyyksiä on Tortoiseshellin osoittamiin operaatioihin, joissa aiemmin käytettiin väärin haitallisia Excel-tiedostoja ja AppDomainManager-injektiota, sekä vuoden 2022 kampanjaan, joka oli yhteydessä Nemesis Kitten -alaklusteriin, joka käytti GitHubia Drokbk-takaoven levittämiseen. Tekoälyavusteisten työkalujen lisääntyvä käyttö vaikeuttaa entisestään toimijoiden erottelua ja osoittamisen luotettavuutta.

Rinnakkaiset tietojenkalasteluoperaatiot ja laajempi vaikutus

Tutkijat paljastivat erikseen WhatsAppin kautta toteutetun tietojenkalastelukampanjan, joka käyttää DuckDNS-verkkotunnuksessa sijaitsevaa väärennettyä WhatsApp-verkkokäyttöliittymää. Sivu kyselee jatkuvasti hyökkääjän hallitsemaa päätepistettä näyttääkseen reaaliaikaisen QR-koodin, joka on linkitetty hyökkääjän omaan WhatsApp-verkkoistuntoon. Uhrit, jotka skannaavat koodin tietämättään, todentavat hyökkääjän ja myöntävät täydet tilin käyttöoikeudet. Tietojenkalasteluinfrastruktuuri pyytää myös selainoikeuksia kameraan, mikrofoniin ja maantieteelliseen sijaintiin, mikä mahdollistaa tehokkaasti reaaliaikaisen valvonnan.

Lisälöydökset viittaavat asiaan liittyvään toimintaan, jonka tarkoituksena on kerätä Gmail-tunnistetietoja, mukaan lukien salasanat ja kaksivaiheiset todennuskoodit, väärennettyjen kirjautumissivujen kautta. Noin 50 henkilöä on joutunut alttiiksi tietojenkalastelulle, ja heidän joukossaan on kurdiyhteisön jäseniä, akateemikkoja, hallituksen henkilöstöä, yritysjohtajia ja muita korkean profiilin henkilöitä. Näiden tietojenkalasteluyritysten takana olevat toimijat ja heidän tarkat motiivinsa ovat edelleen vahvistamatta.

Operatiivinen kauppataito ja puolustavat seuraukset

Laajalle levinneiden, hyödykkeistettyjen alustojen, kuten GitHubin, Google Driven ja Telegramin, käyttö haittaa perinteistä infrastruktuuripohjaista seurantaa ja samalla tuo mukanaan hyödynnettävää metadataa ja operatiivisia turvallisuusriskejä hyökkääjille. Yhdessä tekoälyn kasvavan käyttöönoton kanssa uhkatoimijoiden keskuudessa kampanjat, kuten RedKitten, korostavat puolustajien tarvetta keskittyä käyttäytymisanalyysiin, sisällön validointiin ja käyttäjätietoisuuteen pelkkien infrastruktuuri-indikaattoreiden sijaan.

Trendaavat

Verkkotunnuksen vikailmoitussähköpostihuijaus

Tietojenkalastelu, Roskaposti
On tärkeää pysyä valppaana odottamattomien sähköpostien käsittelyssä. Kyberrikolliset käyttävät usein hyväkseen luottamusta ja kiireellisyyttä huijatakseen vastaanottajia tekemään haitallisia päätöksiä. Huijausviestit on usein huolellisesti muotoiltu näyttämään laillisilta, vaikka ne eivät liity mihinkään todellisiin yrityksiin, organisaatioihin tai palveluntarjoajiin. Yksi tällainen verkossa...

Eniten katsottu

Ladataan...