„SloppyMIO“ galinės durys
Įtariama, kad persų kalba kalbantis veikėjas, susijęs su Irano valstybės interesais, organizavo naują kibernetinio šnipinėjimo kampaniją, nukreiptą prieš nevyriausybines organizacijas ir asmenis, susijusius su neseniai įvykusių žmogaus teisių pažeidimų dokumentavimu. Saugumo tyrėjai šią veiklą nustatė 2026 m. sausio mėn. ir suteikė jai kodinį pavadinimą „RedKitten“.
Turinys
Politinis kontekstas ir taikymosi strategija
Kampanija glaudžiai sutampa su plačiai paplitusiais neramumais Irane, kurie prasidėjo 2025 m. pabaigoje, kuriuos sukėlė didelė infliacija, kylančios maisto kainos ir didelis valiutos nuvertėjimas. Pranešama, kad vėlesnės vyriausybės represijos baigėsi dideliais aukų skaičiumi ir užsitęsusiais interneto sutrikimais. Atrodo, kad operacija buvo sukurta siekiant išnaudoti šią aplinką, siekiant išnaudoti žmones, ieškančius informacijos apie dingusius ar mirusius protestuotojus, pasitelkiant emocinį stresą, kad sukeltų skubumą ir sumažintų skepticizmą.
Pradinis infekcijos vektorius ir LLM skatinamas vystymasis
Įsilaužimo grandinė prasideda nuo 7-Zip archyvo, kurio failo pavadinimas yra persų kalba. Viduje yra „Microsoft Excel“ skaičiuoklės su kenkėjiškomis makrokomandomis. Šiuose XLSM failuose tariamai išvardyti Teherane nuo 2025 m. gruodžio 22 d. iki 2026 m. sausio 20 d. nužudyti protestuotojai; tačiau tokie neatitikimai kaip nesutampantis amžius ir gimimo datos rodo, kad duomenys yra suklastoti. Įjungus makrokomandas, VBA pagrindu veikianti programa, naudodama „AppDomainManager“ injekciją, įdiegia C# įskiepį pavadinimu „AppVStraamingUX_Multi_User.dll“.
Kodo analizė rodo, kad kūrime greičiausiai buvo naudojami dideli kalbos modeliai, remiantis makrokomandos struktūra, pavadinimų suteikimo konvencijomis ir įterptais komentarais, panašiais į automatinius arba mokomuosius raginimus.
„SloppyMIO“ galinių durų architektūra ir galimybės
Įdiegta galinė durų sistema, atsekama kaip „SloppyMIO“, labai priklauso nuo teisėtų debesijos ir bendradarbiavimo platformų. „GitHub“ naudojamas kaip avarinių situacijų sprendimo įrankis, siekiant gauti „Google“ disko URL, kuriuose talpinami vaizdai, slepiantys konfigūracijos duomenis, naudojant steganografiją. Išgauti nustatymai apima „Telegram“ roboto prisijungimo duomenis, pokalbių identifikatorius ir nuorodas į papildomus paketus.
„SloppyMIO“ palaiko kelis funkcinius modulius, kurie įgalina komandų vykdymą, failų rinkimą ir išfiltravimą, naudingosios apkrovos diegimą, išlaikymą atliekant suplanuotas užduotis ir procesų vykdymą. Kenkėjiška programa gali atsisiųsti, kaupti talpykloje ir vykdyti šiuos modulius pagal poreikį, suteikdama operatoriams plačią pažeistų sistemų kontrolę.
Palaikomi funkciniai moduliai:
- Komandų vykdymas naudojant „Windows“ komandų interpretatorių
- Failų rinkimas ir ZIP pagrindu veikiantis išfiltravimas, atitinkantis „Telegram“ API apribojimus
Be modulinio naudingosios apkrovos perdavimo, „SloppyMIO“ palaiko nuolatinį ryšį su savo operatoriais naudodama „Telegram Bot“ API. Implantas stebi sistemos būseną, prašo instrukcijų ir perduoda surinktus duomenis per „Telegram“ pokalbius, tuo pačiu palaikydamas tiesioginį užduočių perdavimą iš atskiro komandų ir valdymo galinio taško.
Stebimos operatoriaus komandos apima:
- Failų rinkimo ir išfiltracijos aktyvavimas
- Vykdomos savavališkos apvalkalo komandos
- Paleisti nurodytas programas arba procesus
Priskyrimas ir istorinės paralelės
Priskyrimas Iraną remiantiems veikėjams grindžiamas keliais rodikliais: persų kalbos artefaktais, su neramumais vidaus viduje susijusiomis masalų temomis ir taktiniu sutapimu su ankstesnėmis kampanijomis. Pažymėtina, kad egzistuoja panašumai su operacijomis, priskiriamomis „Tortoiseshell“, kuri anksčiau piktnaudžiavo kenkėjiškais „Excel“ failais ir „AppDomainManager“ injekcija, taip pat 2022 m. kampanija, susieta su „Nemesis Kitten“ subklasteriu, kuris naudojo „GitHub“, kad platintų „Drokbk“ galines duris. Didėjantis dirbtinio intelekto padedamų įrankių naudojimas dar labiau apsunkina veikėjų diferenciaciją ir priskyrimo patikimumą.
Lygiagrečios sukčiavimo operacijos ir platesnis poveikis
Atskirai tyrėjai atskleidė sukčiavimo apsimetant asmenimis kampaniją, vykdomą per „WhatsApp“, naudojant suklastotą „WhatsApp Web“ sąsają, talpinamą „DuckDNS“ domene. Puslapis nuolat apklausia užpuoliko kontroliuojamą galinį tašką, kad būtų rodomas tiesioginis QR kodas, susietas su priešininko „WhatsApp Web“ sesija. Aukos, nuskaitančios kodą, nežinodamos, autentifikuoja užpuoliką ir suteikia visišką prieigą prie paskyros. Sukčiavimo apsimetant asmenimis infrastruktūra taip pat prašo naršyklės leidimų prieiti prie kameros, mikrofono ir geolokacijos, efektyviai įgalindama stebėjimą realiuoju laiku.
Papildomi duomenys rodo susijusią veiklą, kuria buvo siekiama išgauti „Gmail“ prisijungimo duomenis, įskaitant slaptažodžius ir dviejų veiksnių autentifikavimo kodus, naudojant padirbtus prisijungimo puslapius. Nukentėjo apie 50 asmenų – kurdų bendruomenės nariai, akademikai, vyriausybės darbuotojai, verslo lyderiai ir kiti žinomi asmenys. Šių sukčiavimo operacijų organizatoriai ir jų tikslūs motyvai lieka nepatvirtinti.
Operatyvinė prekyba ir gynybinės implikacijos
Platus tokių komercializuotų platformų kaip „GitHub“, „Google Drive“ ir „Telegram“ naudojimas trukdo tradiciniam infrastruktūra pagrįstam sekimui ir tuo pačiu metu sukuria išnaudojamus metaduomenis bei operacinio saugumo rizikas užpuolikams. Kartu su vis didėjančiu dirbtinio intelekto naudojimu tarp grėsmių kūrėjų, tokios kampanijos kaip „RedKitten“ pabrėžia, kad gynėjai turi sutelkti dėmesį į elgesio analizę, turinio patvirtinimą ir vartotojų informuotumą, o ne vien pasikliauti infrastruktūros rodikliais.
