הצעת הנחה מרובה רישיונות
מסד נתונים של איומים דלתות אחוריות דלת אחורית של SloppyMIO

דלת אחורית של SloppyMIO

עד Mezo ב-דלתות אחוריות, איום מתמשך מתקדם (APT)
לתרגם ל:

גורם איום דובר פרסית, אשר הוערך כבעל זיקה לאינטרסים של המדינה האיראנית, חשוד בתזמור קמפיין ריגול סייבר חדש המכוון נגד ארגונים לא ממשלתיים ואנשים המעורבים בתיעוד הפרות זכויות אדם אחרונות. חוקרי אבטחה זיהו את הפעילות בינואר 2026 והקצו לה את שם הקוד RedKitten.

הקשר פוליטי ואסטרטגיית מיקוד

הקמפיין חופף קשר הדוק לאי שקט נרחב באיראן שהחל בסוף 2025, כתוצאה מאינפלציה חדה, עליית מחירי המזון ופיחות חמור בערך המטבע. דווח כי דיכויים ממשלתיים לאחר מכן הביאו לנפגעים משמעותיים ולשיבושים ממושכים באינטרנט. נראה כי המבצע נועד לנצל סביבה זו על ידי ניצול אנשים המחפשים מידע על מפגינים נעדרים או נפטרו, תוך ניצול מצוקה רגשית כדי לגרום לדחיפות ולהפחית ספקנות.

וקטור זיהום ראשוני ופיתוח מונחה LLM

שרשרת החדירה מתחילה בארכיון 7-Zip הנושא שם קובץ בשפה הפרסית. בפנים נמצאים גיליונות אלקטרוניים של Microsoft Excel המכילים פקודות מאקרו זדוניות. קבצי XLSM אלה מתיימרים לפרט מפגינים שנהרגו בטהרן בין ה-22 בדצמבר 2025 ל-20 בינואר 2026; עם זאת, חוסר עקביות כגון גילאים ותאריכי לידה לא תואמים מצביעים על כך שהנתונים מפוברקים. כאשר פקודות מאקרו מופעלות, תוכנת dropper מבוססת VBA פורסת שתל C# בשם 'AppVStreamingUX_Multi_User.dll' באמצעות הזרקת AppDomainManager.

ניתוח קוד מצביע על כך שסביר להניח שימשו בפיתוח מודלים של שפה גדולה, בהתבסס על מבנה המאקרו, מוסכמות מתן שמות והערות מוטמעות הדומות להנחיות אוטומטיות או הדרכתיות.

ארכיטקטורת ויכולות של SloppyMIO Backdoor

הדלת האחורית המושתלת, המזוהה כ-SloppyMIO, מסתמכת במידה רבה על פלטפורמות ענן ושיתוף פעולה לגיטימיות. GitHub משמש כפתרון נפילות (dead drop) כדי להשיג כתובות URL של Google Drive המארחות תמונות המסתירות נתוני תצורה באמצעות סטגנוגרפיה. ההגדרות שחולצו כוללות אישורי בוט של טלגרם, מזהי צ'אט וקישורים למטענים נוספים.

SloppyMIO תומך במודולים פונקציונליים מרובים המאפשרים ביצוע פקודות, איסוף וחילוץ קבצים, פריסת מטען, שמירה על תפקוד באמצעות משימות מתוזמנות וביצוע תהליכים. התוכנה הזדונית יכולה להוריד, לשמור במטמון ולהפעיל מודולים אלה לפי דרישה, מה שמעניק למפעילים שליטה רחבה על מערכות שנפרצו.

מודולים פונקציונליים נתמכים כוללים:

  • ביצוע פקודה באמצעות מפרש הפקודות של Windows
  • איסוף קבצים וחילוץ מבוסס ZIP בגודל המותאם למגבלות ה-API של טלגרם
  • כתיבת קבצים לספריית נתוני יישום מקומית באמצעות מטענים מקודדים בתמונה
  • יצירת משימות מתוזמנות לביצוע חוזר
  • ייזום תהליך שרירותי
  • פיקוד ובקרה דרך טלגרם

מעבר לאספקת מטען מודולרית, SloppyMIO מקיימת תקשורת רציפה עם המפעילים שלה באמצעות ממשק ה-API של Telegram Bot. המשואות המושתלות בודקות את מצב המערכת, סוקרות הוראות ומשדרות נתונים שנאספו באמצעות צ'אטים בטלגרם, תוך תמיכה גם במשימות ישירות מנקודת קצה נפרדת של שליטה ובקרה.

פקודות אופרטור שנצפו כוללות:

  • הפעלת איסוף וחילוץ קבצים
  • ביצוע פקודות מעטפת שרירותיות
  • הפעלת יישומים או תהליכים ספציפיים

ייחוס והקבלות היסטוריות

הייחוס לשחקנים בעלי זיקה לאיראן מבוסס על מספר אינדיקטורים: ממצאים בשפה הפרסית, נושאי פיתוי הקשורים לאי שקט פנימי וחפיפה טקטית עם קמפיינים קודמים. ראוי לציין כי קיימים קווי דמיון עם פעולות המיוחסות ל-Tortoiseshell, אשר בעבר ניצלה לרעה קבצי Excel זדוניים והזרקת AppDomainManager, כמו גם קמפיין משנת 2022 המקושר לתת-אשכול Nemesis Kitten שהשתמש ב-GitHub כדי להפיץ את הדלת האחורית Drokbk. השימוש הגובר בכלים בסיוע בינה מלאכותית מסבך עוד יותר את בידול השחקנים ואת ביטחון הייחוס.

פעולות פישינג מקבילות והשפעה רחבה יותר

בנפרד, חוקרים חשפו קמפיין פישינג שהועבר דרך WhatsApp, המשתמש בממשק אינטרנט מזויף של WhatsApp המתארח בדומיין DuckDNS. הדף סורק באופן רציף נקודת קצה הנשלטת על ידי התוקף כדי להציג קוד QR חי המקושר לסשן האינטרנט של ה-WhatsApp של היריב עצמו. קורבנות הסורקים את הקוד מאמתים את התוקף מבלי לדעת, ומעניקים גישה מלאה לחשבון. תשתית הפישינג מבקשת גם הרשאות דפדפן למצלמה, למיקרופון ולמיקום גיאוגרפי, מה שמאפשר למעשה מעקב בזמן אמת.

ממצאים נוספים מצביעים על פעילות קשורה שמטרתה אגירת פרטי גישה לג'ימייל, כולל סיסמאות וקודי אימות דו-שלביים, באמצעות דפי כניסה מזויפים. כ-50 אנשים נפגעו, כולל חברי הקהילה הכורדית, אנשי אקדמיה, אנשי ממשל, מנהיגים עסקיים ודמויות בכירות אחרות. המבצעים העומדים מאחורי מאמצי הפישינג הללו והמניעים המדויקים שלהם נותרו לא מאומתים.

מסחר מבצעי והשלכות הגנתיות

השימוש הנרחב בפלטפורמות מסחריות כמו GitHub, Google Drive ו-Telegram פוגע במעקב מסורתי מבוסס תשתית, ובמקביל מציג מטא-דאטה וסיכוני אבטחה תפעוליים הניתנים לניצול עבור התוקפים. בשילוב עם האימוץ הגובר של בינה מלאכותית על ידי גורמי איום, קמפיינים כמו RedKitten מדגישים את הצורך של מגינים להתמקד בניתוח התנהגותי, אימות תוכן ומודעות משתמשים במקום להסתמך אך ורק על מדדי תשתית.

מגמות

הונאת דוא"ל על הודעה על כשל בדומיין

פישינג, ספאם
חשוב להישאר ערניים בעת התמודדות עם מיילים בלתי צפויים. פושעי סייבר מנצלים לעתים קרובות אמון ודחיפות כדי להערים על נמענים ולגרום להם לקבל החלטות מזיקות. הודעות הונאה מעוצבות לעתים קרובות בקפידה כדי להיראות לגיטימיות, למרות שהן אינן קשורות לחברות, ארגונים או ספקי שירותים אמיתיים. איום אחד כזה שמסתובב ברשת ידוע כהונאת דוא"ל של Domain Failure Notice. סקירה כללית של הונאת דוא"ל בנושא כשל דומיין...

הכי נצפה

תוכנה זדונית

פישינג, ספאם
26,860
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...