Rabatttilbud for flere lisenser
Trusseldatabase Bakdører SloppyMIO-bakdør

SloppyMIO-bakdør

Med Mezo i Bakdører, Advanced Persistent Threat (APT)
Oversett til:

En farsi-talende trusselaktør som vurderes å være alliert med iranske statlige interesser, mistenkes for å ha orkestrert en ny cyberspionasjekampanje rettet mot ikke-statlige organisasjoner og enkeltpersoner involvert i å dokumentere nylige brudd på menneskerettighetene. Sikkerhetsforskere identifiserte aktiviteten i januar 2026 og ga den kodenavnet RedKitten.

Politisk kontekst og målrettingsstrategi

Kampanjen har en sterk sammenheng med den utbredte uroen i Iran som startet sent i 2025, drevet av kraftig inflasjon, økende matpriser og alvorlig valutadevaluering. Påfølgende myndighetenes tiltak skal ha resultert i betydelige tap og langvarige internettforstyrrelser. Operasjonen ser ut til å være utformet for å utnytte dette miljøet ved å utnytte folk som søker etter informasjon om savnede eller avdøde demonstranter, og utnytte emosjonell nød for å fremkalle hastverk og redusere skepsis.

Initial infeksjonsvektor og LLM-drevet utvikling

Inntrengingskjeden begynner med et 7-Zip-arkiv med et farsispråklig filnavn. Inni ligger Microsoft Excel-regneark som inneholder ondsinnede makroer. Disse XLSM-filene angivelig viser demonstranter drept i Teheran mellom 22. desember 2025 og 20. januar 2026. Imidlertid indikerer uoverensstemmelser, som uoverensstemmelser i alder og fødselsdato, at dataene er fabrikkert. Når makroer er aktivert, distribuerer en VBA-basert dropper et C#-implantat kalt 'AppVStreamingUX_Multi_User.dll' ved hjelp av AppDomainManager-injeksjon.

Kodeanalyse antyder at store språkmodeller sannsynligvis ble brukt i utviklingen, basert på makroens struktur, navnekonvensjoner og innebygde kommentarer som ligner automatiserte eller instruksjonsledede ledetekster.

SloppyMIO bakdørarkitektur og -funksjoner

Den implanterte bakdøren, sporet som SloppyMIO, er i stor grad avhengig av legitime sky- og samarbeidsplattformer. GitHub brukes som en dead drop-resolver for å hente Google Drive-URL-er som er vert for bilder som skjuler konfigurasjonsdata via steganografi. Utvunnede innstillinger inkluderer Telegram-botlegitimasjon, chat-identifikatorer og lenker til ytterligere nyttelaster.

SloppyMIO støtter flere funksjonelle moduler som muliggjør kommandokjøring, filinnsamling og -utfiltrering, distribusjon av nyttelast, vedvarende gjennom planlagte oppgaver og prosesskjøring. Skadevaren kan laste ned, mellomlagre og kjøre disse modulene på forespørsel, noe som gir operatører bred kontroll over kompromitterte systemer.

Støttede funksjonelle moduler inkluderer:

  • Kommandoutførelse via Windows-kommandotolken
  • Filinnsamling og ZIP-basert eksfiltrering i henhold til Telegram API-grenser
  • Filskriving til en lokal applikasjonsdatakatalog ved hjelp av bildekodede nyttelaster
  • Oppretting av planlagte oppgaver for regelmessig utførelse
  • Initiering av vilkårlig prosess
  • Kommando og kontroll via Telegram

Utover modulær levering av nyttelast, opprettholder SloppyMIO kontinuerlig kommunikasjon med operatørene sine ved hjelp av Telegram Bot API. Implantat-beacons-systemets status, avspør instruksjoner og overfører innsamlede data via Telegram-chatter, samtidig som det støtter direkte oppgaver fra et separat kommando- og kontroll-endepunkt.

Observerte operatorkommandoer inkluderer:

  • Utløser filinnsamling og eksfiltrering
  • Utfører vilkårlige skallkommandoer
  • Starte bestemte applikasjoner eller prosesser

Attribusjon og historiske paralleller

Attribusjon til iransk-tilknyttede aktører er basert på flere indikatorer: farsispråklige artefakter, lokketemaer knyttet til innenlandske uroligheter og taktisk overlapping med tidligere kampanjer. Det er verdt å merke seg likheter med operasjoner tilskrevet Tortoiseshell, som tidligere misbrukte ondsinnede Excel-filer og AppDomainManager-injeksjon, samt en kampanje fra 2022 knyttet til en Nemesis Kitten-underklynge som brukte GitHub til å distribuere Drokbk-bakdøren. Den økende bruken av AI-assistert verktøy kompliserer ytterligere aktørdifferensiering og attribusjonstillit.

Parallelle phishing-operasjoner og bredere innvirkning

Separat avslørte etterforskerne en phishing-kampanje levert via WhatsApp som bruker et forfalsket WhatsApp-webgrensesnitt som ligger på et DuckDNS-domene. Siden avspør kontinuerlig et angriperkontrollert endepunkt for å vise en live QR-kode koblet til angriperens egen WhatsApp-webøkt. Ofre som skanner koden autentiserer ubevisst angriperen og gir full tilgang til kontoen. Phishing-infrastrukturen ber også om nettlesertillatelser for kamera-, mikrofon- og geolokaliseringstilgang, noe som effektivt muliggjør overvåking i sanntid.

Ytterligere funn indikerer relatert aktivitet som tar sikte på å samle Gmail-legitimasjon, inkludert passord og tofaktorautentiseringskoder, gjennom forfalskede innloggingssider. Omtrent 50 personer har blitt berørt, inkludert medlemmer av det kurdiske samfunnet, akademikere, offentlig ansatte, næringslivsledere og andre høyprofilerte personer. Operatørene bak disse phishing-forsøkene og deres nøyaktige motivasjoner er fortsatt ubekreftet.

Operasjonelt handelshåndverk og defensive implikasjoner

Den omfattende bruken av kommersialiserte plattformer som GitHub, Google Drive og Telegram hindrer tradisjonell infrastrukturbasert sporing, samtidig som den introduserer utnyttbare metadata og operasjonelle sikkerhetsrisikoer for angriperne. Kombinert med den økende bruken av AI blant trusselaktører, understreker kampanjer som RedKitten behovet for at forsvarere fokuserer på atferdsanalyse, innholdsvalidering og brukerbevissthet i stedet for å utelukkende stole på infrastrukturindikatorer.

Trender

Mest sett

Laster inn...