SloppyMIO Arka Kapısı
İran devlet çıkarlarıyla bağlantılı olduğu değerlendirilen Farsça konuşan bir tehdit aktörünün, son insan hakları ihlallerini belgeleyen sivil toplum kuruluşlarını ve bireyleri hedef alan yeni bir siber casusluk kampanyası düzenlediğinden şüpheleniliyor. Güvenlik araştırmacıları bu faaliyeti Ocak 2026'da tespit etti ve ona RedKitten kod adını verdi.
İçindekiler
Siyasi Bağlam ve Hedefleme Stratejisi
Kampanya, 2025 yılının sonlarında başlayan ve yüksek enflasyon, artan gıda fiyatları ve ciddi para değer kaybıyla tetiklenen İran'daki yaygın huzursuzlukla yakından örtüşüyor. Ardından gelen hükümet müdahalelerinin önemli can kayıplarına ve uzun süreli internet kesintilerine yol açtığı bildiriliyor. Operasyon, kayıp veya ölen protestocular hakkında bilgi arayan insanları hedef alarak, duygusal sıkıntıyı kullanarak aciliyet duygusu yaratmayı ve şüpheciliği azaltmayı amaçlıyor gibi görünüyor.
İlk Enfeksiyon Vektörü ve LLM Odaklı Gelişim
Saldırı zinciri, Farsça bir dosya adı taşıyan bir 7-Zip arşiviyle başlar. İçerisinde kötü amaçlı makrolar içeren Microsoft Excel elektronik tabloları bulunur. Bu XLSM dosyaları, 22 Aralık 2025 ile 20 Ocak 2026 tarihleri arasında Tahran'da öldürülen protestocuların listesini içeriyor gibi görünmektedir; ancak, yaş ve doğum tarihlerinin uyuşmaması gibi tutarsızlıklar verilerin uydurma olduğunu göstermektedir. Makrolar etkinleştirildiğinde, VBA tabanlı bir yükleyici, AppDomainManager enjeksiyonu kullanarak 'AppVStreamingUX_Multi_User.dll' adlı bir C# implantını dağıtır.
Kod analizi, makronun yapısı, adlandırma kuralları ve otomatik veya öğretici uyarıları andıran gömülü yorumlar göz önüne alındığında, geliştirme aşamasında büyük dil modellerinin kullanılmış olabileceğini düşündürmektedir.
SloppyMIO Arka Kapı Mimarisi ve Yetenekleri
SloppyMIO olarak izlenen yerleştirilmiş arka kapı, meşru bulut ve iş birliği platformlarına büyük ölçüde bağımlıdır. GitHub, steganografi yoluyla yapılandırma verilerini gizleyen görselleri barındıran Google Drive URL'lerini elde etmek için bir "ölü nokta çözümleyici" olarak kullanılır. Çıkarılan ayarlar arasında Telegram bot kimlik bilgileri, sohbet tanımlayıcıları ve ek zararlı yazılımlara bağlantılar bulunur.
SloppyMIO, komut yürütme, dosya toplama ve sızdırma, zararlı yazılım dağıtımı, zamanlanmış görevler aracılığıyla kalıcılık ve işlem yürütme gibi işlevleri sağlayan birden fazla fonksiyonel modülü destekler. Kötü amaçlı yazılım, bu modülleri isteğe bağlı olarak indirebilir, önbelleğe alabilir ve çalıştırabilir; bu da operatörlere ele geçirilen sistemler üzerinde geniş bir kontrol sağlar.
Desteklenen fonksiyonel modüller şunlardır:
- Windows komut yorumlayıcısı aracılığıyla komut yürütme
- Dosya toplama ve ZIP tabanlı veri sızdırma işlemleri, Telegram API limitleriyle sınırlandırılmıştır.
- Görüntü kodlu yükler kullanılarak yerel uygulama veri dizinine dosya yazma
- Tekrarlı yürütme için zamanlanmış görev oluşturma
- Keyfi süreç başlatma
- Telegram üzerinden Komuta ve Kontrol
Modüler yük dağıtımının ötesinde, SloppyMIO, Telegram Bot API'sini kullanarak operatörleriyle sürekli iletişim halinde kalır. İmplant, sistem durumunu işaretler, talimatlar için sorgulama yapar ve toplanan verileri Telegram sohbetleri aracılığıyla iletirken, ayrı bir komuta ve kontrol uç noktasından doğrudan görevlendirmeyi de destekler.
Gözlemlenen operatör komutları şunlardır:
- Dosya toplama ve sızdırmayı tetikleme
- Rastgele kabuk komutlarını yürütme
- Belirtilen uygulamaların veya işlemlerin başlatılması
Atıf ve Tarihsel Benzerlikler
İran yanlısı aktörlere atfedilen eylemler, Farsça dilindeki unsurlar, iç karışıklıkla bağlantılı yem temaları ve önceki kampanyalarla taktiksel örtüşme gibi birden fazla göstergeye dayanmaktadır. Özellikle, daha önce kötü amaçlı Excel dosyalarını ve AppDomainManager enjeksiyonunu kötüye kullanan Tortoiseshell'e atfedilen operasyonlarla ve ayrıca Drokbk arka kapısını dağıtmak için GitHub'ı kullanan Nemesis Kitten alt kümesiyle bağlantılı 2022 kampanyasıyla benzerlikler bulunmaktadır. Yapay zeka destekli araçların artan kullanımı, aktör farklılaştırmasını ve atıf güvenini daha da karmaşık hale getirmektedir.
Paralel Kimlik Avı Operasyonları ve Daha Geniş Kapsamlı Etkileri
Ayrı olarak, araştırmacılar, DuckDNS alan adında barındırılan sahte bir WhatsApp Web arayüzü kullanan, WhatsApp üzerinden yürütülen bir kimlik avı kampanyasını ortaya çıkardı. Sayfa, saldırganın kontrolündeki bir uç noktayı sürekli olarak sorgulayarak, saldırganın kendi WhatsApp Web oturumuna bağlı canlı bir QR kodu görüntülüyor. Kodu tarayan kurbanlar, farkında olmadan saldırganı doğruluyor ve hesaba tam erişim sağlıyor. Kimlik avı altyapısı ayrıca kamera, mikrofon ve konum erişimi için tarayıcı izinleri de istiyor ve bu da gerçek zamanlı gözetimi mümkün kılıyor.
Ek bulgular, sahte giriş sayfaları aracılığıyla Gmail kimlik bilgilerini (şifreler ve iki faktörlü kimlik doğrulama kodları dahil) ele geçirmeyi amaçlayan ilgili faaliyetlere işaret etmektedir. Kürt topluluğu üyeleri, akademisyenler, devlet personeli, iş liderleri ve diğer yüksek profilli isimler de dahil olmak üzere yaklaşık 50 kişi etkilenmiştir. Bu kimlik avı girişimlerinin arkasındaki operatörler ve kesin motivasyonları henüz doğrulanmamıştır.
Operasyonel Taktikler ve Savunma Açısından Önemi
GitHub, Google Drive ve Telegram gibi yaygın platformların kullanımı, geleneksel altyapı tabanlı izlemeyi engellerken aynı zamanda saldırganlar için istismar edilebilir meta veriler ve operasyonel güvenlik riskleri de yaratmaktadır. Tehdit aktörleri tarafından yapay zekanın giderek daha fazla benimsenmesiyle birlikte, RedKitten gibi kampanyalar, savunmacıların yalnızca altyapı göstergelerine güvenmek yerine davranışsal analiz, içerik doğrulama ve kullanıcı farkındalığına odaklanmaları gerektiğinin altını çizmektedir.
