SloppyMIO Backdoor
Një aktor kërcënimi që flet persisht, i vlerësuar të jetë i lidhur me interesat shtetërore iraniane, dyshohet se ka orkestruar një fushatë të re spiunazhi kibernetik që synon organizatat joqeveritare dhe individët e përfshirë në dokumentimin e shkeljeve të fundit të të drejtave të njeriut. Studiuesit e sigurisë e identifikuan aktivitetin në janar 2026 dhe i caktuan emrin e koduar RedKitten.
Tabela e Përmbajtjes
Konteksti Politik dhe Strategjia e Synimit
Fushata përputhet ngushtë me trazirat e përhapura në Iran që filluan në fund të vitit 2025, të nxitura nga inflacioni i lartë, rritja e çmimeve të ushqimeve dhe zhvlerësimi i rëndë i monedhës. Masat e mëvonshme qeveritare thuhet se rezultuan në viktima të konsiderueshme dhe ndërprerje të zgjatura të internetit. Operacioni duket se është hartuar për të shfrytëzuar këtë mjedis duke u përpjekur të shfrytëzojë njerëzit që kërkojnë informacione rreth protestuesve të zhdukur ose të vdekur, duke shfrytëzuar shqetësimin emocional për të nxitur urgjencë dhe për të ulur skepticizmin.
Vektori fillestar i infeksionit dhe zhvillimi i drejtuar nga LLM
Zinxhiri i ndërhyrjeve fillon me një arkiv 7-Zip që mban një emër skedari në gjuhën persi. Brenda janë spreadsheet-e Microsoft Excel që përmbajnë makro keqdashëse. Këto skedarë XLSM pretendojnë të rendisin protestuesit e vrarë në Teheran midis 22 dhjetorit 2025 dhe 20 janarit 2026; megjithatë, mospërputhjet si moshat dhe datat e lindjes të papajtueshme tregojnë se të dhënat janë të sajuara. Kur aktivizohen makrot, një dropper i bazuar në VBA vendos një implant C# të quajtur 'AppVStreamingUX_Multi_User.dll' duke përdorur injeksionin AppDomainManager.
Analiza e kodit sugjeron që modele të mëdha gjuhësore ka të ngjarë të jenë përdorur në zhvillim, bazuar në strukturën e makrove, konventat e emërtimit dhe komentet e ngulitura që ngjajnë me kërkesa të automatizuara ose udhëzuese.
Arkitektura dhe Aftësitë e SloppyMIO Backdoor
Dera e pasme e implantuar, e gjurmuar si SloppyMIO, mbështetet shumë në platformat legjitime të cloud-it dhe bashkëpunimit. GitHub përdoret si një zgjidhës i menjëhershëm për të marrë URL-të e Google Drive që strehojnë imazhe që fshehin të dhënat e konfigurimit nëpërmjet steganografisë. Cilësimet e nxjerra përfshijnë kredencialet e robotit të Telegram-it, identifikuesit e bisedave dhe lidhjet me ngarkesa shtesë.
SloppyMIO mbështet module të shumta funksionale që mundësojnë ekzekutimin e komandave, mbledhjen dhe nxjerrjen e skedarëve, vendosjen e ngarkesës, vazhdimësinë përmes detyrave të planifikuara dhe ekzekutimin e procesit. Malware mund t'i shkarkojë, ruajë në memorien e përkohshme dhe t'i ekzekutojë këto module sipas kërkesës, duke u dhënë operatorëve kontroll të gjerë mbi sistemet e kompromentuara.
Modulet funksionale të mbështetura përfshijnë:
- Ekzekutimi i komandës përmes interpretuesit të komandës së Windows
- Mbledhja e skedarëve dhe nxjerrja e bazuar në ZIP sipas limiteve të API-t të Telegramit
Përtej shpërndarjes modulare të ngarkesës, SloppyMIO mban komunikim të vazhdueshëm me operatorët e tij duke përdorur Telegram Bot API. Implant beacons mat statusin e sistemit, pyet për udhëzime dhe transmeton të dhënat e mbledhura përmes bisedave në Telegram, ndërkohë që mbështet edhe caktimin e drejtpërdrejtë të detyrave nga një pikë fundore e veçantë komande dhe kontrolli.
Komandat e operatorit të vëzhguara përfshijnë:
- Aktivizimi i mbledhjes dhe nxjerrjes së skedarëve
- Ekzekutimi i komandave arbitrare të shell-it
- Nisja e aplikacioneve ose proceseve të caktuara
Atribuimi dhe Paralelet Historike
Atribuimi ndaj aktorëve të lidhur me Iranin bazohet në tregues të shumtë: artefakte të gjuhës persi, tema joshëse të lidhura me trazirat e brendshme dhe mbivendosje taktike me fushatat e mëparshme. Veçanërisht, ekzistojnë ngjashmëri me operacionet që i atribuohen Tortoiseshell, e cila më parë abuzoi me skedarë dashakeq Excel dhe injeksionin AppDomainManager, si dhe një fushatë të vitit 2022 të lidhur me një nën-grup Nemesis Kitten që përdori GitHub për të shpërndarë derën e pasme Drokbk. Përdorimi në rritje i mjeteve të asistuara nga IA e ndërlikon më tej diferencimin e aktorëve dhe besimin në atribuim.
Operacione paralele të phishing-ut dhe ndikim më i gjerë
Veçmas, hetuesit zbuluan një fushatë phishing të kryer përmes WhatsApp që përdor një ndërfaqe të falsifikuar të WhatsApp Web të vendosur në një domen DuckDNS. Faqja vazhdimisht pyet një pikë fundore të kontrolluar nga sulmuesi për të shfaqur një kod QR të drejtpërdrejtë të lidhur me sesionin e vetë WhatsApp Web të kundërshtarit. Viktimat që skanojnë kodin pa e ditur autentifikojnë sulmuesin, duke i dhënë akses të plotë në llogari. Infrastruktura e phishing gjithashtu kërkon leje të shfletuesit për akses në kamerë, mikrofon dhe gjeolokacion, duke mundësuar në mënyrë efektive mbikëqyrje në kohë reale.
Gjetje të tjera tregojnë aktivitete të lidhura që synojnë vjedhjen e kredencialeve të Gmail, duke përfshirë fjalëkalimet dhe kodet e vërtetimit me dy faktorë, përmes faqeve të falsifikuara të hyrjes. Përafërsisht 50 individë janë prekur, duke përfshirë anëtarë të komunitetit kurd, akademikë, personel qeveritar, udhëheqës biznesi dhe figura të tjera të profilit të lartë. Operatorët që qëndrojnë pas këtyre përpjekjeve të phishing dhe motivet e tyre të sakta mbeten të pakonfirmuara.
Implikimet Operacionale dhe Mbrojtëse
Përdorimi i gjerë i platformave të komoditizuara si GitHub, Google Drive dhe Telegram pengon gjurmimin tradicional të bazuar në infrastrukturë, ndërsa njëkohësisht prezanton meta të dhëna të shfrytëzueshme dhe rreziqe sigurie operacionale për sulmuesit. I kombinuar me përdorimin në rritje të inteligjencës artificiale nga aktorët kërcënues, fushata si RedKitten nënvizojnë nevojën që mbrojtësit të përqendrohen në analizën e sjelljes, validimin e përmbajtjes dhe ndërgjegjësimin e përdoruesit, në vend që të mbështeten vetëm në treguesit e infrastrukturës.
