Zadné vrátka SloppyMIO

Perzsky hovoriaci aktér hrozby, o ktorom sa predpokladá, že je spojený so záujmami iránskeho štátu, je podozrivý z organizovania novej kybernetickej špionážnej kampane zameranej na mimovládne organizácie a jednotlivcov zapojených do dokumentovania nedávnych porušovaní ľudských práv. Bezpečnostní výskumníci identifikovali túto aktivitu v januári 2026 a priradili jej krycie meno RedKitten.

Politický kontext a stratégia zacielenia

Kampaň sa úzko prekrýva s rozsiahlymi nepokojmi v Iráne, ktoré sa začali koncom roka 2025 a boli spôsobené prudkou infláciou, rastúcimi cenami potravín a prudkou devalváciou meny. Následné vládne zásahy údajne viedli k značným obetiam a dlhotrvajúcim výpadkom internetu. Zdá sa, že operácia bola navrhnutá tak, aby zneužila toto prostredie a zneužívala ľudí hľadajúcich informácie o nezvestných alebo zosnulých protestujúcich, pričom využívala emocionálne utrpenie na vyvolanie naliehavosti a zníženie skepticizmu.

Vektor počiatočnej infekcie a vývoj riadený LLM

Reťazec narušenia začína 7-Zip archívom s názvom súboru v perzštine. Vo vnútri sa nachádzajú tabuľky programu Microsoft Excel obsahujúce škodlivé makrá. Tieto súbory XLSM údajne uvádzajú zoznam protestujúcich zabitých v Teheráne medzi 22. decembrom 2025 a 20. januárom 2026; nezrovnalosti, ako napríklad nezhoda veku a dátumu narodenia, však naznačujú, že údaje sú vymyslené. Keď sú makrá povolené, nástroj založený na VBA nasadí implantát C# s názvom „AppVStreamingUX_Multi_User.dll“ pomocou injekcie AppDomainManager.

Analýza kódu naznačuje, že pri vývoji boli pravdepodobne použité rozsiahle jazykové modely, a to na základe štruktúry makra, konvencií pomenovania a vložených komentárov pripomínajúcich automatizované alebo inštruktážne pokyny.

Architektúra a možnosti zadných vrátok SloppyMIO

Implantovaný zadný vrátnik, sledovaný ako SloppyMIO, sa vo veľkej miere spolieha na legitímne cloudové a kolaboračné platformy. GitHub sa používa ako dead drop resolver na získanie URL adries Google Drive, ktoré hostia obrázky, ktoré skrývajú konfiguračné údaje pomocou steganografie. Extrahované nastavenia zahŕňajú prihlasovacie údaje telegramového bota, identifikátory chatu a odkazy na ďalšie užitočné zaťaženia.

SloppyMIO podporuje viacero funkčných modulov, ktoré umožňujú vykonávanie príkazov, zhromažďovanie a exfiltráciu súborov, nasadenie užitočného zaťaženia, perzistenciu prostredníctvom naplánovaných úloh a vykonávanie procesov. Malvér dokáže tieto moduly stiahnuť, uložiť do vyrovnávacej pamäte a spustiť na požiadanie, čo operátorom poskytuje širokú kontrolu nad napadnutými systémami.

Medzi podporované funkčné moduly patria:

• Vykonanie príkazov pomocou interpreta príkazov systému Windows
• Zber súborov a exfiltrácia na základe ZIP súborov s veľkosťou zodpovedajúcou limitom Telegram API
• Zápis súboru do lokálneho adresára s údajmi aplikácie pomocou dátových dát kódovaných obrázkom

• Vytvorenie plánovaných úloh pre opakované vykonávanie

• Svojvoľné začatie procesu

• Velenie a riadenie cez Telegram

Okrem modulárneho poskytovania užitočného zaťaženia udržiava SloppyMIO nepretržitú komunikáciu so svojimi operátormi pomocou rozhrania Telegram Bot API. Implantát monitoruje stav systému, vyhľadáva pokyny a prenáša zhromaždené údaje prostredníctvom chatov v Telegrame, pričom zároveň podporuje priame zadávanie úloh zo samostatného koncového bodu velenia a riadenia.

Medzi pozorované príkazy operátora patria:

• Spustenie zhromažďovania a exfiltrácie súborov
• Vykonávanie ľubovoľných príkazov shellu
• Spúšťanie určených aplikácií alebo procesov

Pripisovanie a historické paralely

Pripisovanie aktérom spojeným s Iránom je založené na viacerých ukazovateľoch: artefakty v perzskom jazyku, lákavé témy spojené s domácimi nepokojmi a taktické prekrývanie s predchádzajúcimi kampaňami. Existujú najmä podobnosti s operáciami pripisovanými spoločnosti Tortoiseshell, ktorá predtým zneužívala škodlivé súbory Excel a injekcie AppDomainManager, ako aj s kampaňou z roku 2022 prepojenou s podklastrom Nemesis Kitten, ktorá používala GitHub na distribúciu zadných vrátok Drokbk. Rastúce používanie nástrojov s pomocou umelej inteligencie ďalej komplikuje diferenciáciu aktérov a dôveru v pripisovanie.

Paralelné phishingové operácie a širší dopad

Vyšetrovatelia samostatne odhalili phishingovú kampaň prostredníctvom služby WhatsApp, ktorá využíva falošné webové rozhranie WhatsApp hostované na doméne DuckDNS. Stránka neustále oslovuje útočníka ovládaný koncový bod, aby zobrazil živý QR kód prepojený s vlastnou webovou reláciou útočníka na WhatsApp. Obete skenovaním kódu nevedomky overia útočníka a udelia mu plný prístup k účtu. Phishingová infraštruktúra tiež požaduje povolenia prehliadača pre prístup k kamere, mikrofónu a geolokácii, čo efektívne umožňuje sledovanie v reálnom čase.

Ďalšie zistenia naznačujú súvisiacu aktivitu zameranú na získavanie prihlasovacích údajov Gmailu vrátane hesiel a kódov dvojfaktorového overovania prostredníctvom falošných prihlasovacích stránok. Dotknutých bolo približne 50 osôb, medzi ktorými sú členovia kurdskej komunity, akademici, vládni zamestnanci, obchodní lídri a ďalšie významné osobnosti. Pôsobitelia stojaci za týmito phishingovými aktivitami a ich presná motivácia zostávajú nepotvrdené.

Operačné obchodné remeslo a obranné dôsledky

Rozsiahle používanie komoditizovaných platforiem, ako sú GitHub, Google Drive a Telegram, brzdí tradičné sledovanie založené na infraštruktúre a zároveň predstavuje pre útočníkov zneužiteľné metadáta a riziká operačnej bezpečnosti. V kombinácii s rastúcim využívaním umelej inteligencie aktérmi útokov kampane ako RedKitten zdôrazňujú potrebu, aby sa obrancovia zamerali na analýzu správania, overovanie obsahu a povedomie používateľov, a nie sa spoliehali výlučne na indikátory infraštruktúry.