SloppyMIO बैकडोर

फ़ारसी भाषा बोलने वाले एक गुप्त संगठन पर, जिसका संबंध ईरान के सरकारी हितों से माना जा रहा है, हाल ही में हुए मानवाधिकार उल्लंघनों का दस्तावेजीकरण करने वाले गैर-सरकारी संगठनों और व्यक्तियों को निशाना बनाकर एक नए साइबर जासूसी अभियान को अंजाम देने का संदेह है। सुरक्षा शोधकर्ताओं ने जनवरी 2026 में इस गतिविधि की पहचान की और इसे रेड किटन कोडनेम दिया।

राजनीतिक संदर्भ और लक्ष्यीकरण रणनीति

यह अभियान ईरान में 2025 के अंत में शुरू हुए व्यापक अशांति के साथ मेल खाता है, जो तीव्र मुद्रास्फीति, बढ़ती खाद्य कीमतों और मुद्रा के गंभीर अवमूल्यन के कारण उत्पन्न हुई थी। इसके बाद सरकार द्वारा की गई कार्रवाई में कथित तौर पर भारी जानमाल का नुकसान हुआ और इंटरनेट लंबे समय तक बाधित रहा। ऐसा प्रतीत होता है कि यह अभियान लापता या मृत प्रदर्शनकारियों के बारे में जानकारी खोज रहे लोगों को निशाना बनाकर, भावनात्मक तनाव का लाभ उठाकर, तात्कालिकता की भावना पैदा करने और संदेह को कम करने के लिए बनाया गया है।

प्रारंभिक संक्रमण वेक्टर और एलएलएम-संचालित विकास

घुसपैठ की शुरुआत 7-ज़िप आर्काइव से होती है, जिसमें फ़ारसी भाषा में एक फ़ाइल नाम होता है। इसके अंदर दुर्भावनापूर्ण मैक्रो से युक्त माइक्रोसॉफ्ट एक्सेल स्प्रेडशीट होती हैं। ये XLSM फ़ाइलें 22 दिसंबर, 2025 और 20 जनवरी, 2026 के बीच तेहरान में मारे गए प्रदर्शनकारियों की सूची होने का दावा करती हैं; हालांकि, उम्र और जन्मतिथि में विसंगतियां यह संकेत देती हैं कि डेटा मनगढ़ंत है। मैक्रो को सक्रिय करने पर, VBA आधारित ड्रॉपर AppDomainManager इंजेक्शन का उपयोग करके 'AppVStreamingUX_Multi_User.dll' नामक C# इम्प्लांट को तैनात करता है।

कोड विश्लेषण से पता चलता है कि मैक्रो की संरचना, नामकरण परंपराओं और स्वचालित या निर्देशात्मक संकेतों से मिलते-जुलते अंतर्निहित टिप्पणियों के आधार पर, विकास में बड़े भाषा मॉडल का उपयोग किए जाने की संभावना है।

SloppyMIO बैकडोर आर्किटेक्चर और क्षमताएं

स्लोप्पीएमआईओ के रूप में ट्रैक किया गया यह बैकडोर, वैध क्लाउड और सहयोग प्लेटफार्मों पर काफी हद तक निर्भर करता है। स्टीग्नोग्राफी के माध्यम से कॉन्फ़िगरेशन डेटा को छुपाने वाली छवियों को होस्ट करने वाले Google ड्राइव यूआरएल प्राप्त करने के लिए GitHub का उपयोग डेड ड्रॉप रिजॉल्वर के रूप में किया जाता है। निकाले गए सेटिंग्स में टेलीग्राम बॉट क्रेडेंशियल, चैट पहचानकर्ता और अतिरिक्त पेलोड के लिंक शामिल हैं।

SloppyMIO कई कार्यात्मक मॉड्यूल का समर्थन करता है जो कमांड निष्पादन, फ़ाइल संग्रह और डेटा चोरी, पेलोड परिनियोजन, निर्धारित कार्यों के माध्यम से निरंतरता और प्रक्रिया निष्पादन को सक्षम बनाते हैं। मैलवेयर इन मॉड्यूल को डाउनलोड, कैश और आवश्यकतानुसार चला सकता है, जिससे ऑपरेटरों को प्रभावित सिस्टमों पर व्यापक नियंत्रण प्राप्त होता है।

समर्थित कार्यात्मक मॉड्यूल में निम्नलिखित शामिल हैं:

• विंडोज कमांड इंटरप्रेटर के माध्यम से कमांड निष्पादन
• टेलीग्राम एपीआई की सीमाओं के अनुसार फ़ाइल संग्रह और ज़िप-आधारित डेटा चोरी को नियंत्रित किया गया है।
• इमेज-एनकोडेड पेलोड का उपयोग करके स्थानीय एप्लिकेशन डेटा डायरेक्टरी में फ़ाइल लेखन

• आवर्ती निष्पादन के लिए निर्धारित कार्य निर्माण

• मनमानी प्रक्रिया प्रारंभ

• टेलीग्राम के माध्यम से कमांड और नियंत्रण

मॉड्यूलर पेलोड डिलीवरी के अलावा, SloppyMIO टेलीग्राम बॉट API का उपयोग करके अपने ऑपरेटरों के साथ निरंतर संचार बनाए रखता है। यह इम्प्लांट सिस्टम की स्थिति को दर्शाता है, निर्देशों के लिए पोल करता है और टेलीग्राम चैट के माध्यम से एकत्रित डेटा प्रसारित करता है, साथ ही एक अलग कमांड-एंड-कंट्रोल एंडपॉइंट से सीधे कार्य सौंपने का समर्थन भी करता है।

देखे गए ऑपरेटर कमांड में निम्नलिखित शामिल हैं:

• फ़ाइल संग्रह और डेटा चोरी को सक्रिय करना
• मनमानी शेल कमांड निष्पादित करना
• निर्दिष्ट अनुप्रयोगों या प्रक्रियाओं को प्रारंभ करना

श्रेय और ऐतिहासिक समानताएँ

ईरान समर्थक तत्वों को इन गतिविधियों के लिए जिम्मेदार ठहराने के लिए कई संकेतकों का इस्तेमाल किया गया है: फ़ारसी भाषा में लिखे गए दस्तावेज़, घरेलू अशांति से जुड़े प्रलोभन और पहले के अभियानों के साथ रणनीतिक समानता। विशेष रूप से, टॉरटोइशेल द्वारा किए गए अभियानों से समानताएं पाई जाती हैं, जिसने पहले दुर्भावनापूर्ण एक्सेल फ़ाइलों और ऐपडोमेनमैनेजर इंजेक्शन का दुरुपयोग किया था, साथ ही 2022 के एक अभियान से भी, जो नेमेसिस किटन उप-समूह से जुड़ा था और जिसने ड्रोकबीके बैकडोर को वितरित करने के लिए गिटहब का उपयोग किया था। कृत्रिम बुद्धिमत्ता (एआई) आधारित उपकरणों के बढ़ते उपयोग से इन गतिविधियों को अंजाम देने वाले तत्वों की पहचान करना और उन्हें जिम्मेदार ठहराना और भी जटिल हो जाता है।

समानांतर फ़िशिंग अभियान और व्यापक प्रभाव

इसके अलावा, जांचकर्ताओं ने व्हाट्सएप के माध्यम से चलाए जा रहे एक फ़िशिंग अभियान का खुलासा किया है, जिसमें डकडीएनएस डोमेन पर होस्ट किए गए नकली व्हाट्सएप वेब इंटरफ़ेस का उपयोग किया गया है। यह पेज लगातार हमलावर द्वारा नियंत्रित एंडपॉइंट से डेटा लेता रहता है और हमलावर के अपने व्हाट्सएप वेब सेशन से जुड़ा एक लाइव क्यूआर कोड दिखाता है। कोड को स्कैन करने वाले पीड़ित अनजाने में हमलावर को प्रमाणित कर देते हैं, जिससे उन्हें खाते की पूरी पहुंच मिल जाती है। फ़िशिंग तंत्र कैमरे, माइक्रोफ़ोन और जियोलोकेशन एक्सेस के लिए ब्राउज़र की अनुमतियां भी मांगता है, जिससे वास्तविक समय में निगरानी संभव हो जाती है।

अतिरिक्त जांच से पता चलता है कि फर्जी लॉगिन पेजों के माध्यम से जीमेल क्रेडेंशियल्स, जिनमें पासवर्ड और टू-फैक्टर ऑथेंटिकेशन कोड शामिल हैं, को चुराने के उद्देश्य से संबंधित गतिविधियां की जा रही थीं। लगभग 50 लोग प्रभावित हुए हैं, जिनमें कुर्द समुदाय के सदस्य, शिक्षाविद, सरकारी कर्मचारी, व्यापारिक नेता और अन्य प्रतिष्ठित व्यक्ति शामिल हैं। इन फ़िशिंग प्रयासों के संचालकों और उनके सटीक उद्देश्यों की अभी पुष्टि नहीं हो पाई है।

परिचालन संबंधी व्यापार कौशल और रक्षात्मक निहितार्थ

GitHub, Google Drive और Telegram जैसे आम प्लेटफॉर्मों के व्यापक उपयोग से पारंपरिक बुनियादी ढांचे पर आधारित ट्रैकिंग में बाधा आती है, साथ ही हमलावरों के लिए शोषण योग्य मेटाडेटा और परिचालन सुरक्षा जोखिम भी पैदा होते हैं। खतरे पैदा करने वाले तत्वों द्वारा AI को तेजी से अपनाने के साथ, RedKitten जैसे अभियान इस बात पर जोर देते हैं कि सुरक्षाकर्मियों को केवल बुनियादी ढांचे के संकेतकों पर निर्भर रहने के बजाय व्यवहार विश्लेषण, सामग्री सत्यापन और उपयोगकर्ता जागरूकता पर ध्यान केंद्रित करने की आवश्यकता है।