Backdoor di SloppyMIO
Un autore di minacce di lingua persiana ritenuto in linea con gli interessi dello Stato iraniano è sospettato di aver orchestrato una nuova campagna di cyberspionaggio contro organizzazioni non governative e individui coinvolti nella documentazione di recenti violazioni dei diritti umani. I ricercatori di sicurezza hanno identificato l'attività nel gennaio 2026 e le hanno assegnato il nome in codice RedKitten.
Sommario
Contesto politico e strategia di targeting
La campagna si sovrappone strettamente ai disordini diffusi in Iran iniziati alla fine del 2025, causati da una forte inflazione, dall'aumento dei prezzi dei prodotti alimentari e da una grave svalutazione della moneta. Le successive misure repressive del governo avrebbero causato numerose vittime e prolungate interruzioni di internet. L'operazione sembra progettata per sfruttare questo contesto, sfruttando le persone in cerca di informazioni sui manifestanti scomparsi o deceduti, sfruttando il disagio emotivo per indurre urgenza e ridurre lo scetticismo.
Vettore di infezione iniziale e sviluppo guidato da LLM
La catena di intrusione inizia con un archivio 7-Zip con un nome di file in lingua farsi. Al suo interno si trovano fogli di calcolo Microsoft Excel contenenti macro dannose. Questi file XLSM pretendono di elencare i manifestanti uccisi a Teheran tra il 22 dicembre 2025 e il 20 gennaio 2026; tuttavia, incongruenze come età e date di nascita non corrispondenti indicano che i dati sono stati falsificati. Quando le macro sono abilitate, un dropper basato su VBA distribuisce un'installazione C# denominata "AppVStreamingUX_Multi_User.dll" tramite l'iniezione di AppDomainManager.
L'analisi del codice suggerisce che durante lo sviluppo sono stati probabilmente utilizzati modelli linguistici di grandi dimensioni, basati sulla struttura della macro, sulle convenzioni di denominazione e sui commenti incorporati che assomigliano a prompt automatici o didattici.
Architettura e funzionalità della backdoor SloppyMIO
La backdoor impiantata, tracciata come SloppyMIO, si basa in larga misura su piattaforme cloud e di collaborazione legittime. GitHub viene utilizzato come dead drop resolver per ottenere gli URL di Google Drive che ospitano immagini che nascondono i dati di configurazione tramite steganografia. Le impostazioni estratte includono credenziali del bot di Telegram, identificatori di chat e link a payload aggiuntivi.
SloppyMIO supporta diversi moduli funzionali che consentono l'esecuzione di comandi, la raccolta e l'esfiltrazione di file, la distribuzione del payload, la persistenza tramite attività pianificate e l'esecuzione di processi. Il malware può scaricare, memorizzare nella cache ed eseguire questi moduli su richiesta, offrendo agli operatori un ampio controllo sui sistemi compromessi.
I moduli funzionali supportati includono:
- Esecuzione del comando tramite l'interprete dei comandi di Windows
- Raccolta di file ed esfiltrazione basata su ZIP dimensionate in base ai limiti dell'API di Telegram
- Scrittura di file in una directory di dati dell'applicazione locale utilizzando payload codificati in immagini
- Creazione di attività pianificate per l'esecuzione ricorrente
- Avvio arbitrario del processo
- Comando e controllo tramite Telegram
Oltre alla distribuzione modulare del payload, SloppyMIO mantiene una comunicazione continua con i suoi operatori utilizzando l'API Telegram Bot. L'impianto segnala lo stato del sistema, richiede istruzioni e trasmette i dati raccolti tramite chat Telegram, supportando al contempo l'assegnazione diretta delle attività da un endpoint di comando e controllo separato.
I comandi dell'operatore osservati includono:
- Attivazione della raccolta e dell'esfiltrazione dei file
- Esecuzione di comandi shell arbitrari
- Avvio di applicazioni o processi specifici
Attribuzione e parallelismi storici
L'attribuzione ad attori di affiliazione iraniana si basa su molteplici indicatori: artefatti in lingua persiana, temi di esca legati a disordini interni e sovrapposizione tattica con campagne precedenti. In particolare, esistono somiglianze con le operazioni attribuite a Tortoiseshell, che in precedenza abusava di file Excel dannosi e dell'iniezione di AppDomainManager, nonché con una campagna del 2022 collegata a un sottocluster di Nemesis Kitten che utilizzava GitHub per distribuire la backdoor Drokbk. Il crescente utilizzo di strumenti assistiti dall'intelligenza artificiale complica ulteriormente la differenziazione degli attori e la sicurezza dell'attribuzione.
Operazioni di phishing parallele e impatto più ampio
Separatamente, gli investigatori hanno rivelato una campagna di phishing diffusa tramite WhatsApp che utilizza un'interfaccia Web WhatsApp falsificata ospitata su un dominio DuckDNS. La pagina interroga continuamente un endpoint controllato dall'aggressore per visualizzare un codice QR live collegato alla sessione Web WhatsApp dell'avversario. Le vittime che scansionano il codice autenticano inconsapevolmente l'aggressore, concedendogli l'accesso completo all'account. L'infrastruttura di phishing richiede anche le autorizzazioni del browser per l'accesso a fotocamera, microfono e geolocalizzazione, consentendo di fatto una sorveglianza in tempo reale.
Ulteriori risultati indicano un'attività correlata volta a rubare credenziali Gmail, tra cui password e codici di autenticazione a due fattori, attraverso pagine di accesso contraffatte. Sono state colpite circa 50 persone, tra cui membri della comunità curda, accademici, personale governativo, dirigenti aziendali e altre figure di alto profilo. Gli autori di queste azioni di phishing e le loro precise motivazioni rimangono sconosciuti.
Tecniche operative e implicazioni difensive
L'uso estensivo di piattaforme standardizzate come GitHub, Google Drive e Telegram ostacola il tracciamento tradizionale basato sulle infrastrutture, introducendo al contempo metadati sfruttabili e rischi per la sicurezza operativa per gli aggressori. Insieme alla crescente adozione dell'intelligenza artificiale da parte degli autori delle minacce, campagne come RedKitten sottolineano la necessità per i difensori di concentrarsi sull'analisi comportamentale, sulla convalida dei contenuti e sulla consapevolezza degli utenti, piuttosto che affidarsi esclusivamente agli indicatori infrastrutturali.
