Tylne drzwi SloppyMIO
Podejrzewa się, że podmiot posługujący się językiem perskim, którego działania uznano za powiązane z interesami państwa irańskiego, zorganizował nową kampanię cybernetycznego szpiegostwa wymierzoną w organizacje pozarządowe i osoby zaangażowane w dokumentowanie niedawnych naruszeń praw człowieka. Badacze bezpieczeństwa zidentyfikowali tę aktywność w styczniu 2026 roku i nadali jej kryptonim RedKitten.
Spis treści
Kontekst polityczny i strategia kierowania
Kampania ściśle pokrywa się z powszechnymi niepokojami w Iranie, które rozpoczęły się pod koniec 2025 roku, napędzane gwałtowną inflacją, rosnącymi cenami żywności i drastyczną dewaluacją waluty. Późniejsze represje rządowe podobno doprowadziły do licznych ofiar i długotrwałych przerw w dostępie do internetu. Operacja wydaje się mieć na celu wykorzystanie tej sytuacji poprzez żerowanie na osobach poszukujących informacji o zaginionych lub zmarłych demonstrantach, wykorzystując stres emocjonalny do wywołania poczucia pilności i zmniejszenia sceptycyzmu.
Początkowy wektor infekcji i rozwój napędzany przez LLM
Łańcuch włamań rozpoczyna się od archiwum 7-Zip z nazwą pliku w języku perskim. Wewnątrz znajdują się arkusze kalkulacyjne Microsoft Excel zawierające złośliwe makra. Te pliki XLSM rzekomo zawierają listę protestujących zabitych w Teheranie między 22 grudnia 2025 r. a 20 stycznia 2026 r.; jednak nieścisłości, takie jak niezgodność wieku i dat urodzenia, wskazują na sfabrykowanie danych. Po włączeniu makr dropper oparty na VBA wdraża implant C# o nazwie „AppVStreamingUX_Multi_User.dll” za pomocą wstrzyknięcia AppDomainManager.
Analiza kodu sugeruje, że podczas tworzenia makra najprawdopodobniej wykorzystano duże modele językowe, opierając się na strukturze makra, konwencjach nazewnictwa i osadzonych komentarzach przypominających zautomatyzowane lub instruktażowe monity.
Architektura i możliwości backdoora SloppyMIO
Wszczepiony backdoor, śledzony jako SloppyMIO, w dużej mierze opiera się na legalnych platformach chmurowych i platformach do współpracy. GitHub jest używany jako narzędzie do uzyskiwania adresów URL Dysku Google, na których znajdują się obrazy ukrywające dane konfiguracyjne za pomocą steganografii. Wyodrębnione ustawienia obejmują dane uwierzytelniające bota Telegram, identyfikatory czatów i linki do dodatkowych ładunków.
SloppyMIO obsługuje wiele modułów funkcjonalnych, które umożliwiają wykonywanie poleceń, gromadzenie i eksfiltrację plików, wdrażanie ładunków, trwałość w zaplanowanych zadaniach oraz wykonywanie procesów. Szkodliwe oprogramowanie może pobierać, buforować i uruchamiać te moduły na żądanie, dając operatorom szeroką kontrolę nad zainfekowanymi systemami.
Obsługiwane moduły funkcjonalne obejmują:
- Wykonywanie poleceń za pomocą interpretatora poleceń systemu Windows
- Zbieranie plików i eksfiltracja oparta na ZIP o rozmiarze zgodnym z limitami interfejsu API Telegram
- Zapisywanie plików do lokalnego katalogu danych aplikacji przy użyciu ładunków zakodowanych w obrazie
- Tworzenie zaplanowanych zadań do cyklicznego wykonywania
- Arbitralne inicjowanie procesu
- Dowodzenie i kontrola za pośrednictwem telegramu
Oprócz modułowego dostarczania danych, SloppyMIO utrzymuje ciągłą komunikację z operatorami za pomocą interfejsu API Telegram Bot. Implant beacon sprawdza stan systemu, odpytuje o instrukcje i przesyła zebrane dane za pośrednictwem czatów Telegram, a także obsługuje bezpośrednie przydzielanie zadań z oddzielnego punktu końcowego dowodzenia i kontroli.
Zaobserwowane polecenia operatora obejmują:
- Wyzwalanie gromadzenia i eksfiltracji plików
- Wykonywanie dowolnych poleceń powłoki
- Uruchamianie określonych aplikacji lub procesów
Atrybucja i paralele historyczne
Atrybucja dla podmiotów powiązanych z Iranem opiera się na wielu wskaźnikach: artefaktach języka perskiego, motywach wabiących związanych z niepokojami wewnętrznymi oraz nakładaniu się taktyki z wcześniejszymi kampaniami. Co istotne, istnieją podobieństwa do operacji przypisywanych Tortoiseshell, który wcześniej wykorzystywał złośliwe pliki Excela i wstrzyknął dane za pomocą AppDomainManager, a także do kampanii z 2022 roku powiązanej z podklastrem Nemesis Kitten, który wykorzystywał GitHub do dystrybucji backdoora Drokbk. Coraz częstsze wykorzystywanie narzędzi wspomaganych sztuczną inteligencją dodatkowo komplikuje różnicowanie podmiotów i pewność atrybucji.
Równoległe operacje phishingowe i szerszy wpływ
Odrębnie, śledczy ujawnili kampanię phishingową prowadzoną za pośrednictwem WhatsApp, wykorzystującą sfałszowany interfejs WhatsApp Web hostowany w domenie DuckDNS. Strona stale przeszukuje kontrolowany przez atakującego punkt końcowy, aby wyświetlić na żywo kod QR powiązany z sesją WhatsApp Web atakującego. Ofiary skanujące kod nieświadomie uwierzytelniają atakującego, udzielając mu pełnego dostępu do konta. Infrastruktura phishingowa żąda również uprawnień przeglądarki do dostępu do kamery, mikrofonu i geolokalizacji, co skutecznie umożliwia nadzór w czasie rzeczywistym.
Dodatkowe ustalenia wskazują na powiązaną działalność mającą na celu wyłudzenie danych uwierzytelniających Gmaila, w tym haseł i kodów uwierzytelniania dwuskładnikowego, za pośrednictwem fałszywych stron logowania. Atak dotknął około 50 osób, w tym członków społeczności kurdyjskiej, naukowców, urzędników państwowych, liderów biznesu i innych prominentnych osobistości. Osoby stojące za tymi atakami phishingowymi i ich dokładne motywy pozostają nieznane.
Operacyjne metody handlowe i implikacje obronne
Szerokie wykorzystanie platform komodowych, takich jak GitHub, Google Drive i Telegram, utrudnia tradycyjne śledzenie oparte na infrastrukturze, jednocześnie wprowadzając podatne na eksploatację metadane i zagrożenia bezpieczeństwa operacyjnego dla atakujących. W połączeniu z rosnącą adopcją sztucznej inteligencji przez cyberprzestępców, kampanie takie jak RedKitten podkreślają potrzebę skupienia się przez obrońców na analizie behawioralnej, walidacji treści i świadomości użytkowników, zamiast polegać wyłącznie na wskaźnikach infrastrukturalnych.
