SloppyMIO Backdoor
Un actor de amenințare vorbitor de persană, despre care se consideră că este aliniat intereselor statului iranian, este suspectat că a orchestrat o nouă campanie de ciberspionaj care vizează organizații non-guvernamentale și persoane implicate în documentarea încălcărilor recente ale drepturilor omului. Cercetătorii în domeniul securității au identificat activitatea în ianuarie 2026 și i-au atribuit numele de cod RedKitten.
Cuprins
Context politic și strategie de direcționare
Campania se suprapune îndeaproape cu tulburările generalizate din Iran care au început la sfârșitul anului 2025, determinate de inflație accentuată, creșterea prețurilor la alimente și devalorizarea severă a monedei. Represiunile guvernamentale ulterioare au dus, se pare, la victime semnificative și întreruperi prelungite ale internetului. Operațiunea pare a fi concepută pentru a exploata acest mediu, profitând de persoanele care caută informații despre protestatarii dispăruți sau decedați, valorificând suferința emoțională pentru a induce urgența și a reduce scepticismul.
Vector de infecție inițială și dezvoltare bazată pe LLM
Lanțul de intruziuni începe cu o arhivă 7-Zip care conține un nume de fișier în limba farsi. În interior se află foi de calcul Microsoft Excel care conțin macrocomenzi rău intenționate. Aceste fișiere XLSM pretind să enumere protestatarii uciși la Teheran între 22 decembrie 2025 și 20 ianuarie 2026; cu toate acestea, inconsecvențele precum vârstele și datele de naștere nepotrivite indică faptul că datele sunt fabricate. Când macrocomenzile sunt activate, un dropper bazat pe VBA implementează un implant C# numit „AppVStreamingUX_Multi_User.dll” folosind injecția AppDomainManager.
Analiza codului sugerează că în dezvoltare au fost probabil utilizate modele lingvistice mari, pe baza structurii macrocomenzii, a convențiilor de denumire și a comentariilor încorporate care seamănă cu solicitări automate sau instructive.
Arhitectura și capacitățile backdoor-ului SloppyMIO
Backdoor-ul implantat, urmărit ca SloppyMIO, se bazează în mare măsură pe platforme legitime de cloud și colaborare. GitHub este folosit ca un rezolver de tip „dead-drop” pentru a obține adrese URL Google Drive care găzduiesc imagini ce ascund date de configurare prin steganografie. Setările extrase includ acreditări de bot Telegram, identificatori de chat și linkuri către sarcini utile suplimentare.
SloppyMIO acceptă mai multe module funcționale care permit executarea comenzilor, colectarea și exfiltrarea fișierelor, implementarea sarcinii utile, persistența prin sarcini programate și executarea proceselor. Programul malware poate descărca, stoca în cache și rula aceste module la cerere, oferind operatorilor un control larg asupra sistemelor compromise.
Modulele funcționale suportate includ:
- Executarea comenzilor prin intermediul interpretorului de comenzi Windows
- Colectarea fișierelor și exfiltrarea bazată pe ZIP, dimensionate conform limitelor API-ului Telegram
Dincolo de livrarea modulară a sarcinii utile, SloppyMIO menține o comunicare continuă cu operatorii săi folosind API-ul Telegram Bot. Implantul semnalizează starea sistemului, solicită instrucțiuni și transmite datele colectate prin chat-urile Telegram, oferind în același timp suport pentru tasking direct de la un endpoint separat de comandă și control.
Comenzile operatorului observate includ:
- Declanșarea colectării și exfiltrării fișierelor
- Executarea comenzilor arbitrare de shell
- Lansarea aplicațiilor sau proceselor specificate
Atribuire și paralele istorice
Atribuirea către actori aliniați cu Iranul se bazează pe mai mulți indicatori: artefacte în limba persană, teme legate de tulburări interne și suprapuneri tactice cu campanii anterioare. În special, există asemănări cu operațiunile atribuite lui Tortoiseshell, care anterior a abuzat de fișiere Excel malițioase și de injectarea AppDomainManager, precum și cu o campanie din 2022 legată de un subcluster Nemesis Kitten care a folosit GitHub pentru a distribui backdoor-ul Drokbk. Utilizarea tot mai mare a instrumentelor asistate de inteligență artificială complică și mai mult diferențierea actorilor și încrederea în atribuire.
Operațiuni paralele de phishing și impact mai larg
Separat, anchetatorii au dezvăluit o campanie de phishing implementată prin WhatsApp, care utilizează o interfață web WhatsApp falsificată, găzduită pe un domeniu DuckDNS. Pagina interoghează continuu un endpoint controlat de atacator pentru a afișa un cod QR live, legat de propria sesiune web WhatsApp a atacatorului. Victimele care scanează codul autentifică atacatorul fără să știe, acordându-i acces complet la cont. Infrastructura de phishing solicită, de asemenea, permisiuni de browser pentru acces la cameră, microfon și geolocalizare, permițând efectiv supravegherea în timp real.
Alte descoperiri indică activități similare care vizează colectarea datelor de autentificare Gmail, inclusiv parole și coduri de autentificare cu doi factori, prin intermediul paginilor de conectare contrafăcute. Aproximativ 50 de persoane au fost afectate, inclusiv membri ai comunității kurde, cadre universitare, personal guvernamental, lideri de afaceri și alte personalități importante. Operatorii din spatele acestor eforturi de phishing și motivațiile lor precise rămân neconfirmate.
Arta operațională și implicațiile defensive
Utilizarea extensivă a platformelor comune precum GitHub, Google Drive și Telegram împiedică urmărirea tradițională bazată pe infrastructură, introducând simultan metadate exploatabile și riscuri de securitate operațională pentru atacatori. Combinată cu adoptarea tot mai mare a inteligenței artificiale de către actorii care amenință atacuri, campanii precum RedKitten subliniază necesitatea ca apărătorii să se concentreze pe analiza comportamentală, validarea conținutului și conștientizarea utilizatorilor, mai degrabă decât să se bazeze exclusiv pe indicatori de infrastructură.
