ประตูหลัง SloppyMIO
ผู้ก่อการร้ายไซเบอร์ที่พูดภาษาเปอร์เซีย ซึ่งถูกประเมินว่ามีความสอดคล้องกับผลประโยชน์ของรัฐบาลอิหร่าน ถูกสงสัยว่ากำลังวางแผนปฏิบัติการจารกรรมทางไซเบอร์รูปแบบใหม่ โดยมุ่งเป้าไปที่องค์กรไม่แสวงผลกำไรและบุคคลที่เกี่ยวข้องกับการบันทึกการละเมิดสิทธิมนุษยชนที่เกิดขึ้นเมื่อเร็วๆ นี้ นักวิจัยด้านความมั่นคงระบุถึงกิจกรรมดังกล่าวในเดือนมกราคม 2026 และตั้งชื่อรหัสว่า RedKitten
สารบัญ
บริบททางการเมืองและกลยุทธ์การกำหนดเป้าหมาย
แคมเปญนี้มีความเกี่ยวพันอย่างใกล้ชิดกับความไม่สงบที่เกิดขึ้นอย่างกว้างขวางในอิหร่าน ซึ่งเริ่มต้นขึ้นในช่วงปลายปี 2025 โดยมีสาเหตุมาจากภาวะเงินเฟ้อรุนแรง ราคาอาหารที่พุ่งสูงขึ้น และค่าเงินที่อ่อนตัวลงอย่างมาก การปราบปรามของรัฐบาลในเวลาต่อมาส่งผลให้มีผู้เสียชีวิตจำนวนมากและอินเทอร์เน็ตถูกตัดขาดเป็นเวลานาน ปฏิบัติการนี้ดูเหมือนจะถูกออกแบบมาเพื่อใช้ประโยชน์จากสถานการณ์นี้ โดยการโจมตีผู้คนที่กำลังค้นหาข้อมูลเกี่ยวกับผู้ประท้วงที่หายสาบสูญหรือเสียชีวิต โดยใช้ความทุกข์ทางอารมณ์เพื่อกระตุ้นให้เกิดความเร่งด่วนและลดความสงสัยลง
เวกเตอร์การติดเชื้อเริ่มต้นและการพัฒนาที่ขับเคลื่อนด้วย LLM
กระบวนการบุกรุกเริ่มต้นด้วยไฟล์บีบอัด 7-Zip ที่มีชื่อไฟล์เป็นภาษาเปอร์เซีย ภายในไฟล์นั้นมีสเปรดชีต Microsoft Excel ที่มีมาโครที่เป็นอันตราย ไฟล์ XLSM เหล่านี้อ้างว่ามีรายชื่อผู้ประท้วงที่ถูกสังหารในกรุงเตหะรานระหว่างวันที่ 22 ธันวาคม 2025 ถึง 20 มกราคม 2026 อย่างไรก็ตาม ความไม่สอดคล้องกัน เช่น อายุและวันเกิดที่ไม่ตรงกัน บ่งชี้ว่าข้อมูลนั้นเป็นข้อมูลปลอม เมื่อเปิดใช้งานมาโคร โปรแกรมดรอปเปอร์ที่ใช้ VBA จะติดตั้งอิมแพลนต์ C# ที่ชื่อ 'AppVStreamingUX_Multi_User.dll' โดยใช้การแทรก AppDomainManager
จากการวิเคราะห์โค้ด พบว่าน่าจะมีการใช้โมเดลภาษาขนาดใหญ่ในการพัฒนา โดยพิจารณาจากโครงสร้างของมาโคร ข้อกำหนดในการตั้งชื่อ และความคิดเห็นที่ฝังอยู่ภายใน ซึ่งมีลักษณะคล้ายกับข้อความแจ้งเตือนอัตโนมัติหรือคำแนะนำ
สถาปัตยกรรมและขีดความสามารถของช่องโหว่ SloppyMIO
มัลแวร์แบ็กดอร์ที่ถูกฝังไว้ ซึ่งถูกติดตามในชื่อ SloppyMIO นั้น อาศัยแพลตฟอร์มคลาวด์และแพลตฟอร์มการทำงานร่วมกันที่ถูกต้องตามกฎหมายเป็นอย่างมาก โดยใช้ GitHub เป็นตัวกลางในการดึง URL ของ Google Drive ที่โฮสต์รูปภาพซึ่งซ่อนข้อมูลการกำหนดค่าไว้ด้วยวิธีการซ่อนข้อมูล (steganography) ข้อมูลที่ถูกดึงออกมานั้นรวมถึงข้อมูลประจำตัวของบอท Telegram ตัวระบุแชท และลิงก์ไปยังเพย์โหลดเพิ่มเติม
SloppyMIO รองรับโมดูลการทำงานหลายโมดูลที่ช่วยให้สามารถดำเนินการคำสั่ง รวบรวมและดึงไฟล์ การติดตั้งเพย์โหลด การคงอยู่ในระบบผ่านงานที่กำหนดเวลาไว้ และการเรียกใช้กระบวนการ มัลแวร์สามารถดาวน์โหลด แคช และเรียกใช้โมดูลเหล่านี้ได้ตามต้องการ ทำให้ผู้โจมตีสามารถควบคุมระบบที่ถูกบุกรุกได้อย่างกว้างขวาง
โมดูลการทำงานที่รองรับ ได้แก่:
- การเรียกใช้คำสั่งผ่านตัวแปลคำสั่งของ Windows
- การรวบรวมไฟล์และการส่งข้อมูลออกในรูปแบบ ZIP นั้นมีขนาดไม่เกินขีดจำกัดของ Telegram API
นอกเหนือจากการส่งข้อมูลแบบโมดูลาร์แล้ว SloppyMIO ยังรักษาการสื่อสารอย่างต่อเนื่องกับผู้ควบคุมโดยใช้ API ของ Telegram Bot อุปกรณ์นี้จะส่งสัญญาณสถานะของระบบ สอบถามคำสั่ง และส่งข้อมูลที่รวบรวมได้ผ่านการแชทใน Telegram พร้อมทั้งรองรับการสั่งการโดยตรงจากจุดควบคุมและสั่งการแยกต่างหาก
คำสั่งที่ผู้ปฏิบัติงานตรวจพบ ได้แก่:
- การกระตุ้นการรวบรวมและการส่งไฟล์ออกไป
- การเรียกใช้คำสั่งเชลล์ตามอำเภอใจ
- การเปิดใช้งานแอปพลิเคชันหรือกระบวนการที่ระบุ
การระบุที่มาและความคล้ายคลึงทางประวัติศาสตร์
การระบุผู้กระทำการที่เกี่ยวข้องกับอิหร่านนั้นอิงตามตัวชี้วัดหลายประการ ได้แก่ หลักฐานที่เป็นภาษาเปอร์เซีย ธีมล่อลวงที่เชื่อมโยงกับความไม่สงบภายในประเทศ และความซ้ำซ้อนทางยุทธวิธีกับแคมเปญก่อนหน้านี้ ที่น่าสังเกตคือ มีความคล้ายคลึงกับปฏิบัติการที่ระบุว่าเป็นของกลุ่ม Tortoiseshell ซึ่งก่อนหน้านี้ใช้ไฟล์ Excel ที่เป็นอันตรายและการแทรก AppDomainManager รวมถึงแคมเปญในปี 2022 ที่เชื่อมโยงกับกลุ่มย่อย Nemesis Kitten ที่ใช้ GitHub ในการเผยแพร่แบ็กดอร์ Drokbk การใช้เครื่องมือที่ใช้ AI ช่วยเหลือเพิ่มมากขึ้นทำให้การแยกแยะผู้กระทำการและการระบุผู้กระทำการมีความซับซ้อนยิ่งขึ้น
การปฏิบัติการฟิชชิ่งแบบคู่ขนานและผลกระทบในวงกว้าง
นอกจากนี้ นักสืบยังเปิดเผยถึงแคมเปญฟิชชิงที่ส่งผ่าน WhatsApp โดยใช้หน้าเว็บ WhatsApp Web ปลอมที่โฮสต์อยู่บนโดเมน DuckDNS หน้าเว็บดังกล่าวจะตรวจสอบปลายทางที่ผู้โจมตีควบคุมอยู่ตลอดเวลาเพื่อแสดงรหัส QR แบบเรียลไทม์ที่เชื่อมโยงไปยังเซสชัน WhatsApp Web ของผู้โจมตีเอง เหยื่อที่สแกนรหัสโดยไม่รู้ตัวจะยืนยันตัวตนของผู้โจมตี ทำให้ได้รับสิทธิ์เข้าถึงบัญชีอย่างเต็มรูปแบบ โครงสร้างพื้นฐานของฟิชชิงยังขอสิทธิ์การเข้าถึงเบราว์เซอร์สำหรับกล้อง ไมโครโฟน และตำแหน่งทางภูมิศาสตร์ ซึ่งทำให้สามารถสอดแนมแบบเรียลไทม์ได้อย่างมีประสิทธิภาพ
ผลการตรวจสอบเพิ่มเติมชี้ให้เห็นถึงกิจกรรมที่เกี่ยวข้องซึ่งมีเป้าหมายในการเก็บรวบรวมข้อมูลประจำตัว Gmail รวมถึงรหัสผ่านและรหัสยืนยันตัวตนสองขั้นตอน ผ่านหน้าล็อกอินปลอม มีผู้ได้รับผลกระทบประมาณ 50 คน ซึ่งรวมถึงสมาชิกชุมชนชาวเคิร์ด นักวิชาการ เจ้าหน้าที่รัฐ ผู้นำทางธุรกิจ และบุคคลสำคัญอื่นๆ ยังไม่ทราบแน่ชัดว่าใครเป็นผู้ดำเนินการและแรงจูงใจที่แท้จริงในการหลอกลวงเหล่านี้
ยุทธวิธีในการปฏิบัติการและนัยยะเชิงป้องกัน
การใช้งานแพลตฟอร์มที่แพร่หลาย เช่น GitHub, Google Drive และ Telegram ทำให้การติดตามแบบดั้งเดิมที่อาศัยโครงสร้างพื้นฐานทำได้ยากขึ้น ในขณะเดียวกันก็สร้างความเสี่ยงด้านเมตาเดต้าและความปลอดภัยในการปฏิบัติงานให้กับผู้โจมตี เมื่อรวมกับการนำ AI มาใช้โดยผู้คุกคามที่เพิ่มมากขึ้น แคมเปญอย่าง RedKitten จึงเน้นย้ำถึงความจำเป็นที่ผู้ป้องกันจะต้องมุ่งเน้นไปที่การวิเคราะห์พฤติกรรม การตรวจสอบความถูกต้องของเนื้อหา และการสร้างความตระหนักรู้ของผู้ใช้ มากกว่าการพึ่งพาตัวชี้วัดโครงสร้างพื้นฐานเพียงอย่างเดียว
