SloppyMIO stražnja vrata

Prijetnja koju je izazvao perzijski jezik, a za koju se procjenjuje da je povezana s iranskim državnim interesima, osumnjičena je za orkestriranje nove kampanje kibernetičke špijunaže usmjerene na nevladine organizacije i pojedince uključene u dokumentiranje nedavnih kršenja ljudskih prava. Sigurnosni istraživači identificirali su aktivnost u siječnju 2026. i dodijelili joj kodni naziv RedKitten.

Politički kontekst i strategija ciljanja

Kampanja se usko preklapa s raširenim nemirima u Iranu koji su započeli krajem 2025., potaknuti oštrom inflacijom, rastućim cijenama hrane i ozbiljnom devalvacijom valute. Naknadne vladine represije navodno su rezultirale značajnim žrtvama i dugotrajnim prekidima interneta. Čini se da je operacija osmišljena kako bi se iskoristilo ovo okruženje iskorištavanjem ljudi koji traže informacije o nestalim ili preminulim prosvjednicima, iskorištavajući emocionalnu uznemirenost kako bi se izazvala hitnost i smanjio skepticizam.

Početni vektor infekcije i razvoj vođen LLM-om

Lanac upada započinje 7-Zip arhivom koja nosi naziv datoteke na perzijskom jeziku. Unutra se nalaze Microsoft Excel proračunske tablice koje sadrže zlonamjerne makroe. Ove XLSM datoteke navodno navode prosvjednike ubijene u Teheranu između 22. prosinca 2025. i 20. siječnja 2026.; međutim, nedosljednosti poput neusklađenih dobi i datuma rođenja ukazuju na to da su podaci izmišljeni. Kada su makroi omogućeni, VBA-bazirani dropper implementira C# implantat pod nazivom 'AppVStreamingUX_Multi_User.dll' koristeći AppDomainManager injekciju.

Analiza koda sugerira da su se u razvoju vjerojatno koristili veliki jezični modeli, na temelju strukture makroa, konvencija imenovanja i ugrađenih komentara koji nalikuju automatiziranim ili uputama.

Arhitektura i mogućnosti SloppyMIO Backdoor-a

Ugrađeni backdoor, praćen kao SloppyMIO, uvelike se oslanja na legitimne platforme za oblak i suradnju. GitHub se koristi kao dead drop resolver za dobivanje URL-ova Google diska koji hostiraju slike koje prikrivaju podatke o konfiguraciji putem steganografije. Izdvojene postavke uključuju vjerodajnice Telegram bota, identifikatore chata i poveznice na dodatne podatke.

SloppyMIO podržava više funkcionalnih modula koji omogućuju izvršavanje naredbi, prikupljanje i uklanjanje datoteka, raspoređivanje korisnog tereta, perzistenciju kroz zakazane zadatke i izvršavanje procesa. Zlonamjerni softver može preuzeti, pohraniti u predmemoriju i pokrenuti ove module na zahtjev, dajući operaterima široku kontrolu nad kompromitiranim sustavima.

Podržani funkcionalni moduli uključuju:

• Izvršavanje naredbi putem Windows interpretera naredbi
• Prikupljanje datoteka i eksfiltracija temeljena na ZIP-u veličine prema ograničenjima Telegram API-ja
• Pisanje datoteke u lokalni direktorij podataka aplikacije pomoću korisnih tereta kodiranih slikama

• Izrada zakazanih zadataka za ponavljajuće izvršavanje

• Pokretanje proizvoljnog postupka

• Komandovanje i upravljanje putem Telegrama

Osim modularne isporuke korisnog tereta, SloppyMIO održava kontinuiranu komunikaciju sa svojim operaterima koristeći Telegram Bot API. Implant prati status sustava, ispituje upute i prenosi prikupljene podatke putem Telegram chatova, a istovremeno podržava izravno zadavanje zadataka s zasebne krajnje točke za zapovijedanje i kontrolu.

Promatrane naredbe operatera uključuju:

• Pokretanje prikupljanja i izvlačenja datoteka
• Izvršavanje proizvoljnih shell naredbi
• Pokretanje određenih aplikacija ili procesa

Atribucija i povijesne paralele

Pripisivanje akterima povezanim s Iranom temelji se na više pokazatelja: artefakti na perzijskom jeziku, teme primamljivosti povezane s domaćim nemirima i taktičko preklapanje s ranijim kampanjama. Posebno je važno napomenuti da postoje sličnosti s operacijama koje se pripisuju Tortoiseshellu, koji je prethodno zloupotrijebio zlonamjerne Excel datoteke i injekciju AppDomainManagera, kao i kampanja iz 2022. povezana s podklasterom Nemesis Kitten koja je koristila GitHub za distribuciju Drokbk backdoora. Sve veća upotreba alata potpomognutih umjetnom inteligencijom dodatno komplicira diferencijaciju aktera i pouzdanost atribucije.

Paralelne phishing operacije i širi utjecaj

Istražitelji su odvojeno otkrili phishing kampanju putem WhatsAppa koja koristi lažno WhatsApp web sučelje hostirano na DuckDNS domeni. Stranica kontinuirano provjerava krajnju točku kojom upravlja napadač kako bi prikazala QR kod uživo povezan s vlastitom WhatsApp web sesijom protivnika. Žrtve skeniranjem koda nesvjesno autentificiraju napadača, odobravajući mu puni pristup računu. Phishing infrastruktura također traži dopuštenja preglednika za pristup kameri, mikrofonu i geolokaciji, učinkovito omogućujući nadzor u stvarnom vremenu.

Dodatni nalazi ukazuju na povezane aktivnosti usmjerene na krađu Gmail vjerodajnica, uključujući lozinke i kodove za dvofaktorsku autentifikaciju, putem krivotvorenih stranica za prijavu. Pogođeno je otprilike 50 pojedinaca, uključujući članove kurdske zajednice, akademike, vladine službenike, poslovne lidere i druge visokoprofilirane osobe. Operateri koji stoje iza ovih phishing napora i njihovi točni motivi ostaju nepotvrđeni.

Operativne zanatske i obrambene implikacije

Opsežna upotreba komodificiranih platformi poput GitHuba, Google Drivea i Telegrama ometa tradicionalno praćenje temeljeno na infrastrukturi, a istovremeno uvodi metapodatke koje se mogu iskoristiti i rizike operativne sigurnosti za napadače. U kombinaciji s rastućim usvajanjem umjetne inteligencije od strane aktera prijetnji, kampanje poput RedKittena naglašavaju potrebu da se branitelji usredotoče na analizu ponašanja, validaciju sadržaja i svijest korisnika, umjesto da se oslanjaju isključivo na pokazatelje infrastrukture.