Backdoor SloppyMIO
Um agente malicioso de língua farsi, considerado alinhado aos interesses do Estado iraniano, é suspeito de orquestrar uma nova campanha de ciberespionagem contra organizações não governamentais e indivíduos envolvidos na documentação de recentes violações de direitos humanos. Pesquisadores de segurança identificaram a atividade em janeiro de 2026 e atribuíram a ela o codinome RedKitten.
Índice
Contexto Político e Estratégia de Alvo
A campanha coincide em grande parte com a onda de protestos no Irã que começou no final de 2025, impulsionada pela inflação galopante, pela escalada dos preços dos alimentos e pela grave desvalorização da moeda. A subsequente repressão do governo resultou, segundo relatos, em um número significativo de vítimas e em prolongadas interrupções da internet. A operação parece ter sido planejada para explorar esse cenário, visando pessoas que buscam informações sobre manifestantes desaparecidos ou mortos, aproveitando-se do sofrimento emocional para gerar urgência e diminuir o ceticismo.
Vetor de infecção inicial e desenvolvimento impulsionado por LLM
A cadeia de intrusão começa com um arquivo compactado em 7-Zip com um nome em farsi. Dentro dele, encontram-se planilhas do Microsoft Excel contendo macros maliciosas. Esses arquivos XLSM supostamente listam manifestantes mortos em Teerã entre 22 de dezembro de 2025 e 20 de janeiro de 2026; no entanto, inconsistências como idades e datas de nascimento diferentes indicam que os dados são falsos. Quando as macros são habilitadas, um dropper baseado em VBA implanta um arquivo C# chamado 'AppVStreamingUX_Multi_User.dll' usando a injeção do AppDomainManager.
A análise do código sugere que provavelmente foram usados modelos de linguagem de grande porte no desenvolvimento, com base na estrutura da macro, nas convenções de nomenclatura e nos comentários incorporados que se assemelham a instruções automatizadas ou guias de instruções.
Arquitetura e capacidades do backdoor SloppyMIO
O backdoor implantado, identificado como SloppyMIO, depende fortemente de plataformas legítimas de nuvem e colaboração. O GitHub é usado como um servidor de entrega oculta para obter URLs do Google Drive que hospedam imagens que ocultam dados de configuração por meio de esteganografia. As configurações extraídas incluem credenciais de bots do Telegram, identificadores de bate-papo e links para payloads adicionais.
O SloppyMIO suporta múltiplos módulos funcionais que permitem a execução de comandos, coleta e exfiltração de arquivos, implantação de payloads, persistência por meio de tarefas agendadas e execução de processos. O malware pode baixar, armazenar em cache e executar esses módulos sob demanda, dando aos operadores amplo controle sobre os sistemas comprometidos.
Os módulos funcionais suportados incluem:
- Execução de comandos através do interpretador de comandos do Windows
- Coleta de arquivos e exfiltração baseada em ZIP, respeitando os limites da API do Telegram.
- Gravação de arquivos em um diretório de dados local do aplicativo usando payloads codificados em imagem.
- Criação de tarefas agendadas para execução recorrente.
- Iniciação arbitrária de processos
- Comando e controle via Telegram
Além da entrega modular de carga útil, o SloppyMIO mantém comunicação contínua com seus operadores usando a API do Telegram Bot. O implante envia sinais de status do sistema, solicita instruções e transmite os dados coletados por meio de chats do Telegram, além de suportar o envio direto de tarefas a partir de um ponto de comando e controle separado.
Os comandos observados do operador incluem:
- Acionando a coleta e exfiltração de arquivos
- Executando comandos arbitrários do shell
- Executar aplicativos ou processos específicos
Atribuição e Paralelos Históricos
A atribuição a atores alinhados ao Irã baseia-se em múltiplos indicadores: artefatos em língua farsi, temas de isca ligados à agitação interna e sobreposição tática com campanhas anteriores. Notavelmente, existem semelhanças com operações atribuídas ao grupo Tortoiseshell, que anteriormente abusou de arquivos Excel maliciosos e da injeção do AppDomainManager, bem como com uma campanha de 2022 ligada a um subgrupo do Nemesis Kitten que usou o GitHub para distribuir o backdoor Drokbk. O uso crescente de ferramentas com auxílio de IA complica ainda mais a diferenciação dos atores e a confiabilidade da atribuição.
Operações paralelas de phishing e seu impacto mais amplo
Em outro caso, os investigadores revelaram uma campanha de phishing disseminada pelo WhatsApp que utiliza uma interface falsificada do WhatsApp Web hospedada em um domínio DuckDNS. A página consulta continuamente um endpoint controlado pelo atacante para exibir um código QR ativo vinculado à sessão do WhatsApp Web do adversário. As vítimas, ao escanear o código, autenticam o atacante sem saber, concedendo-lhe acesso total à conta. A infraestrutura de phishing também solicita permissões do navegador para acesso à câmera, ao microfone e à geolocalização, permitindo, na prática, vigilância em tempo real.
Descobertas adicionais indicam atividades relacionadas com o objetivo de coletar credenciais do Gmail, incluindo senhas e códigos de autenticação de dois fatores, por meio de páginas de login falsificadas. Aproximadamente 50 pessoas foram afetadas, incluindo membros da comunidade curda, acadêmicos, funcionários do governo, líderes empresariais e outras figuras de destaque. Os responsáveis por esses ataques de phishing e suas motivações exatas ainda não foram confirmados.
Técnicas Operacionais e Implicações Defensivas
O uso extensivo de plataformas como GitHub, Google Drive e Telegram dificulta o rastreamento tradicional baseado em infraestrutura, ao mesmo tempo que introduz riscos exploráveis de metadados e de segurança operacional para os atacantes. Combinado com a crescente adoção de IA por agentes de ameaças, campanhas como a RedKitten ressaltam a necessidade de os defensores se concentrarem na análise comportamental, na validação de conteúdo e na conscientização do usuário, em vez de dependerem exclusivamente de indicadores de infraestrutura.
