SloppyMIO-bakdörr
En farsispråkig hotaktör som bedöms ha kopplingar till iranska statliga intressen misstänks ha orkestrerat en ny cyberspionagekampanj riktad mot icke-statliga organisationer och individer som är inblandade i att dokumentera nyligen inträffade kränkningar av mänskliga rättigheter. Säkerhetsforskare identifierade aktiviteten i januari 2026 och gav den kodnamnet RedKitten.
Innehållsförteckning
Politisk kontext och målinriktad strategi
Kampanjen överlappar nära med den utbredda oroligheten i Iran som började i slutet av 2025, driven av kraftig inflation, eskalerande matpriser och kraftig valutadevalvering. Efterföljande statliga tillslag ska ha resulterat i betydande förluster och långvariga internetavbrott. Operationen verkar utformad för att utnyttja denna miljö genom att utnyttja människor som söker information om försvunna eller avlidna demonstranter, och utnyttja känslomässig stress för att skapa brådska och minska skepticism.
Initial infektionsvektor och LLM-driven utveckling
Intrångskedjan börjar med ett 7-Zip-arkiv med ett filnamn på farsi. Inuti finns Microsoft Excel-kalkylblad som innehåller skadliga makron. Dessa XLSM-filer påstås lista demonstranter som dödades i Teheran mellan 22 december 2025 och 20 januari 2026. Inkonsekvenser som felaktiga åldrar och födelsedatum indikerar dock att informationen är fabricerad. När makron är aktiverade distribuerar en VBA-baserad dropper ett C#-implantat med namnet 'AppVStreamingUX_Multi_User.dll' med hjälp av AppDomainManager-injektion.
Kodanalys tyder på att stora språkmodeller sannolikt användes i utvecklingen, baserat på makrots struktur, namngivningskonventioner och inbäddade kommentarer som liknar automatiserade eller instruktionsuppmaningar.
SloppyMIO-bakdörrsarkitektur och funktioner
Den implanterade bakdörren, spårad som SloppyMIO, förlitar sig starkt på legitima moln- och samarbetsplattformar. GitHub används som en dead drop-resolver för att hämta Google Drive-URL:er som innehåller bilder som döljer konfigurationsdata via steganografi. Extraherade inställningar inkluderar Telegram-botuppgifter, chatt-identifierare och länkar till ytterligare nyttolaster.
SloppyMIO stöder flera funktionella moduler som möjliggör kommandokörning, filinsamling och exfiltrering, distribution av nyttolast, persistens genom schemalagda uppgifter och processkörning. Skadlig programvara kan ladda ner, cachelagra och köra dessa moduler på begäran, vilket ger operatörer bred kontroll över komprometterade system.
Funktionella moduler som stöds inkluderar:
- Kommandokörning via Windows kommandotolk
- Filinsamling och ZIP-baserad exfiltrering storleksanpassad till Telegram API-gränser
- Filskrivning till en lokal programdatakatalog med hjälp av bildkodade nyttolaster
- Skapande av schemalagda uppgifter för återkommande körning
- Initiering av godtycklig process
- Kommando och kontroll via Telegram
Utöver modulär nyttolastleverans upprätthåller SloppyMIO kontinuerlig kommunikation med sina operatörer med hjälp av Telegram Bot API. Implantatfyrarna registrerar systemstatus, frågar efter instruktioner och överför insamlad data via Telegram-chattar, samtidigt som de stöder direkt tasking från en separat kommando- och kontroll-slutpunkt.
Observerade operatorkommandon inkluderar:
- Utlösande av filinsamling och exfiltrering
- Köra godtyckliga skalkommandon
- Starta specifika applikationer eller processer
Attribuering och historiska paralleller
Tillskrivning till iranskallierade aktörer baseras på flera indikatorer: artefakter på farsi, lockelseteman kopplade till inhemska oroligheter och taktisk överlappning med tidigare kampanjer. Det är värt att notera att det finns likheter med operationer som tillskrivs Tortoiseshell, som tidigare missbrukade skadliga Excel-filer och AppDomainManager-injektion, samt en kampanj från 2022 kopplad till ett Nemesis Kitten-underkluster som använde GitHub för att distribuera Drokbk-bakdörren. Den ökande användningen av AI-assisterade verktyg komplicerar ytterligare aktörsdifferentiering och tillförlitlighet vid tillskrivning.
Parallella nätfiskeoperationer och bredare påverkan
Separat avslöjade utredare en nätfiskekampanj som levererades via WhatsApp och som använder ett förfalskat WhatsApp-webbgränssnitt som finns på en DuckDNS-domän. Sidan avsöker kontinuerligt en angriparstyrd slutpunkt för att visa en live QR-kod länkad till angriparens egen WhatsApp-webbsession. Offren som skannar koden autentiserar omedvetet angriparen och ger fullständig åtkomst till kontot. Nätfiskeinfrastrukturen begär också webbläsarbehörigheter för kamera-, mikrofon- och geolokaliseringsåtkomst, vilket effektivt möjliggör övervakning i realtid.
Ytterligare fynd tyder på relaterad aktivitet som syftar till att stjäla Gmail-inloggningsuppgifter, inklusive lösenord och tvåfaktorsautentiseringskoder, genom förfalskade inloggningssidor. Ungefär 50 personer har drabbats, inklusive medlemmar av den kurdiska befolkningsgruppen, akademiker, myndighetspersonal, företagsledare och andra högprofilerade personer. Operatörerna bakom dessa nätfiskeförsök och deras exakta motiv är fortfarande obekräftade.
Operativt hantverk och defensiva konsekvenser
Den omfattande användningen av kommodifierade plattformar som GitHub, Google Drive och Telegram hämmar traditionell infrastrukturbaserad spårning samtidigt som den introducerar exploaterbara metadata och operativa säkerhetsrisker för angriparna. I kombination med det växande antagandet av AI bland hotaktörer understryker kampanjer som RedKitten behovet av att försvarare fokuserar på beteendeanalys, innehållsvalidering och användarmedvetenhet snarare än att enbart förlita sig på infrastrukturindikatorer.
