SloppyMIO Backdoor
Предполагается, что действующий субъект, говорящий на фарси и связанный с интересами иранского государства, организует новую кампанию кибершпионажа, направленную против неправительственных организаций и отдельных лиц, занимающихся документированием недавних нарушений прав человека. Исследователи в области безопасности выявили эту деятельность в январе 2026 года и присвоили ей кодовое название RedKitten.
Оглавление
Политический контекст и стратегия выбора мишеней
Эта кампания тесно связана с широкомасштабными беспорядками в Иране, начавшимися в конце 2025 года и вызванными резкой инфляцией, ростом цен на продукты питания и серьезной девальвацией валюты. Сообщается, что последующие репрессии со стороны правительства привели к значительным жертвам и длительным перебоям в работе интернета. Операция, по всей видимости, направлена на использование этой ситуации путем манипулирования людьми, ищущими информацию о пропавших без вести или погибших протестующих, и использования эмоционального стресса для создания ощущения срочности и снижения скептицизма.
Первоначальный вектор заражения и разработка, основанная на LLM
Цепочка вторжения начинается с 7-Zip-архива с именем файла на персидском языке. Внутри находятся электронные таблицы Microsoft Excel, содержащие вредоносные макросы. Эти файлы XLSM якобы содержат список протестующих, убитых в Тегеране в период с 22 декабря 2025 года по 20 января 2026 года; однако несоответствия, такие как несовпадение возраста и дат рождения, указывают на то, что данные сфабрикованы. При включении макросов, вредоносная программа на основе VBA развертывает C#-имплант с именем 'AppVStreamingUX_Multi_User.dll' с использованием внедрения AppDomainManager.
Анализ кода позволяет предположить, что при разработке, судя по структуре макроса, соглашениям об именовании и встроенным комментариям, напоминающим автоматические или инструктивные подсказки, вероятно, использовались большие языковые модели.
Архитектура и возможности бэкдора SloppyMIO
Внедрённый бэкдор, отслеживаемый как SloppyMIO, в значительной степени зависит от легитимных облачных и платформ для совместной работы. GitHub используется в качестве средства для получения URL-адресов Google Drive, на которых размещены изображения, скрывающие данные конфигурации с помощью стеганографии. Извлечённые настройки включают в себя учётные данные бота Telegram, идентификаторы чатов и ссылки на дополнительные полезные нагрузки.
SloppyMIO поддерживает множество функциональных модулей, обеспечивающих выполнение команд, сбор и утечку файлов, развертывание полезной нагрузки, сохранение активности с помощью запланированных задач и выполнение процессов. Вредоносное ПО может загружать, кэшировать и запускать эти модули по запросу, предоставляя операторам широкий контроль над скомпрометированными системами.
Поддерживаемые функциональные модули включают:
- Выполнение команд через интерпретатор команд Windows
- Сбор файлов и эксфильтрация на основе ZIP-архивов ограничены лимитами API Telegram.
Помимо модульной доставки полезной нагрузки, SloppyMIO поддерживает непрерывную связь со своими операторами, используя API Telegram-бота. Имплант отслеживает состояние системы, запрашивает инструкции и передает собранные данные через чаты Telegram, а также поддерживает прямое управление с отдельной точки управления.
Среди наблюдаемых команд оператора можно отметить следующие:
- Запуск сбора и извлечения файлов.
- Выполнение произвольных команд оболочки
- Запуск указанных приложений или процессов
Атрибуция и исторические параллели
Установление причастности к деятельности иранских субъектов основано на множестве индикаторов: артефакты на фарси, темы заманивания, связанные с внутренними беспорядками, и тактическое совпадение с более ранними кампаниями. Примечательно, что существуют сходства с операциями, приписываемыми Tortoiseshell, которая ранее использовала вредоносные файлы Excel и внедрение AppDomainManager, а также с кампанией 2022 года, связанной с подкластером Nemesis Kitten, который использовал GitHub для распространения бэкдора Drokbk. Растущее использование инструментов с поддержкой ИИ еще больше усложняет дифференциацию субъектов и уверенность в установлении их причастности.
Параллельные фишинговые операции и их более широкие последствия
Отдельно следователи раскрыли информацию о фишинговой кампании, осуществляемой через WhatsApp с использованием поддельного веб-интерфейса WhatsApp, размещенного на домене DuckDNS. Страница постоянно опрашивает контролируемую злоумышленником точку доступа, чтобы отобразить QR-код в реальном времени, связанный с собственной сессией WhatsApp Web злоумышленника. Жертвы, сканируя код, неосознанно подтверждают личность злоумышленника, получая полный доступ к учетной записи. Фишинговая инфраструктура также запрашивает у браузера разрешения на доступ к камере, микрофону и геолокации, фактически обеспечивая слежку в режиме реального времени.
Дополнительные данные указывают на связанную деятельность, направленную на сбор учетных данных Gmail, включая пароли и коды двухфакторной аутентификации, посредством поддельных страниц входа. Пострадали около 50 человек, в том числе члены курдской общины, ученые, государственные служащие, руководители предприятий и другие высокопоставленные лица. Личности организаторов этих фишинговых атак и их точные мотивы остаются неустановленными.
Оперативные методы и оборонительные последствия
Широкое использование коммерциализированных платформ, таких как GitHub, Google Drive и Telegram, затрудняет традиционное отслеживание на основе инфраструктуры, одновременно создавая уязвимые метаданные и риски для операционной безопасности злоумышленников. В сочетании с растущим внедрением ИИ злоумышленниками, такие кампании, как RedKitten, подчеркивают необходимость для защитников сосредоточиться на поведенческом анализе, проверке контента и осведомленности пользователей, а не полагаться исключительно на индикаторы инфраструктуры.
