Zadnja vrata SloppyMIO
Perzijsko govoreči akter, za katerega se ocenjuje, da je povezan z iranskimi državnimi interesi, je osumljen organiziranja nove kampanje kibernetskega vohunjenja, usmerjene proti nevladnim organizacijam in posameznikom, vpletenim v dokumentiranje nedavnih kršitev človekovih pravic. Varnostni raziskovalci so dejavnost odkrili januarja 2026 in ji dodelili kodno ime RedKitten.
Kazalo
Politični kontekst in strategija ciljanja
Kampanja se tesno prekriva z obsežnimi nemiri v Iranu, ki so se začeli konec leta 2025, zaradi ostre inflacije, naraščajočih cen hrane in hude devalvacije valute. Kasnejše vladne represije so po poročanjih povzročile veliko žrtev in dolgotrajne motnje v internetni povezavi. Zdi se, da je operacija zasnovana tako, da izkorišča to okolje z izkoriščanjem ljudi, ki iščejo informacije o pogrešanih ali umrlih protestnikih, pri čemer izkorišča čustveno stisko za spodbujanje nujnosti in zmanjšanje skepticizma.
Začetni vektor okužbe in razvoj, ki ga poganja LLM
Veriga vdorov se začne z arhivom 7-Zip z imenom datoteke v perzijščini. V njem so preglednice Microsoft Excel, ki vsebujejo zlonamerne makre. Te datoteke XLSM naj bi vsebovale seznam protestnikov, ubitih v Teheranu med 22. decembrom 2025 in 20. januarjem 2026; vendar nedoslednosti, kot so neusklajene starosti in datumi rojstva, kažejo, da so podatki izmišljeni. Ko so makri omogočeni, program, ki temelji na VBA, z injekcijo AppDomainManager namesti vsadek C# z imenom »AppVStreamingUX_Multi_User.dll«.
Analiza kode kaže, da so bili pri razvoju verjetno uporabljeni modeli velikih jezikov, glede na strukturo makra, konvencije poimenovanja in vdelane komentarje, ki spominjajo na avtomatizirane ali navodilne pozive.
Arhitektura in zmogljivosti zadnjih vrat SloppyMIO
Vgrajena zadnja vrata, ki jih sledijo kot SloppyMIO, se močno zanašajo na legitimne platforme za oblak in sodelovanje. GitHub se uporablja kot posrednik za pridobivanje URL-jev Google Drive, ki gostijo slike, ki s steganografijo prikrivajo konfiguracijske podatke. Izvlečene nastavitve vključujejo poverilnice bota Telegram, identifikatorje klepeta in povezave do dodatnih koristnih podatkov.
SloppyMIO podpira več funkcionalnih modulov, ki omogočajo izvajanje ukazov, zbiranje in odstranjevanje datotek, uvajanje koristnega tovora, vzdržnost načrtovanih opravil in izvajanje procesov. Zlonamerna programska oprema lahko te module prenese, shrani v predpomnilnik in zažene na zahtevo, kar operaterjem daje širok nadzor nad ogroženimi sistemi.
Podprti funkcionalni moduli vključujejo:
- Izvajanje ukazov prek interpreterja ukazov sistema Windows
- Zbiranje datotek in izvlečenje datotek na podlagi ZIP-a, ki je prilagojeno omejitvam Telegram API-ja
- Pisanje datotek v lokalni imenik podatkov aplikacije z uporabo slikovno kodiranih koristnih podatkov
- Ustvarjanje načrtovanih opravil za ponavljajoče se izvajanje
- Začetek arbitrarnega postopka
- Upravljanje in nadzor prek Telegrama
Poleg modularne dostave koristnega tovora SloppyMIO vzdržuje neprekinjeno komunikacijo s svojimi operaterji z uporabo Telegram Bot API-ja. Vsadek spremlja stanje sistema, zahteva navodila in prenaša zbrane podatke prek klepetov Telegram, hkrati pa podpira neposredno dodeljevanje nalog z ločene končne točke za upravljanje in nadzor.
Opazovani ukazi operaterja vključujejo:
- Sproženje zbiranja in izbruha datotek
- Izvajanje poljubnih ukazov lupine
- Zagon določenih aplikacij ali procesov
Pripisovanje in zgodovinske vzporednice
Pripisovanje akterjem, povezanim z Iranom, temelji na več kazalnikih: artefakti v perzijskem jeziku, vabljive teme, povezane z domačimi nemiri, in taktično prekrivanje s prejšnjimi kampanjami. Omeniti velja podobnosti z operacijami, pripisanimi Tortoiseshellu, ki je prej zlorabljal zlonamerne datoteke Excel in vbrizgavanje AppDomainManagerja, ter kampanjo iz leta 2022, povezano s podgrupo Nemesis Kitten, ki je uporabljala GitHub za distribucijo zadnjih vrat Drokbk. Naraščajoča uporaba orodij, podprtih z umetno inteligenco, še dodatno otežuje razlikovanje akterjev in zaupanje v pripisovanje.
Vzporedne operacije lažnega predstavljanja in širši vpliv
Ločeno so preiskovalci razkrili phishing kampanjo, ki se izvaja prek WhatsAppa in uporablja ponarejen spletni vmesnik WhatsApp, gostovan na domeni DuckDNS. Stran nenehno preverja končno točko, ki jo nadzoruje napadalec, da prikaže živo QR kodo, povezano z lastno spletno sejo WhatsApp nasprotnika. Žrtve, ki skenirajo kodo, nevede overijo napadalca in mu odobrijo poln dostop do računa. Phishing infrastruktura zahteva tudi dovoljenja brskalnika za dostop do kamere, mikrofona in geolokacije, kar dejansko omogoča nadzor v realnem času.
Dodatne ugotovitve kažejo na povezane dejavnosti, katerih cilj je pridobivanje Gmailovih poverilnic, vključno z gesli in kodami za dvofaktorsko preverjanje pristnosti, prek ponarejenih prijavnih strani. Prizadetih je bilo približno 50 posameznikov, med katerimi so člani kurdske skupnosti, akademiki, vladni uslužbenci, poslovni voditelji in druge znane osebnosti. Izvajalci teh lažnih napadov in njihovi natančni motivi ostajajo nepotrjeni.
Operativne obrtniške in obrambne posledice
Široka uporaba komercializiranih platform, kot so GitHub, Google Drive in Telegram, ovira tradicionalno sledenje, ki temelji na infrastrukturi, hkrati pa napadalcem prinaša metapodatke, ki jih je mogoče izkoristiti, in tveganja za operativno varnost. V kombinaciji z vse večjim sprejemanjem umetne inteligence s strani akterjev grožnje kampanje, kot je RedKitten, poudarjajo potrebo, da se zagovorniki osredotočijo na vedenjsko analizo, preverjanje vsebine in ozaveščenost uporabnikov, namesto da se zanašajo zgolj na kazalnike infrastrukture.
