SloppyMIO 后门
一名使用波斯语的威胁行为者被评估为与伊朗国家利益相关,他涉嫌策划了一场新的网络间谍活动,目标是参与记录近期侵犯人权行为的非政府组织和个人。安全研究人员于2026年1月发现了这一活动,并将其命名为“红猫”(RedKitten)。
目录
政治背景和目标策略
这场运动与伊朗自2025年末开始的大规模动乱高度重合,这场动乱的根源在于严重的通货膨胀、不断上涨的食品价格以及货币大幅贬值。据报道,随后政府的镇压行动造成了重大人员伤亡和长时间的网络中断。此次行动似乎旨在利用这种环境,通过诱使人们寻找失踪或死亡的抗议者的信息,利用人们的情绪焦虑来制造紧迫感,降低他们的怀疑态度。
初始感染媒介和LLM驱动的发展
入侵链始于一个文件名使用波斯语的 7-Zip 压缩包。压缩包内包含带有恶意宏的 Microsoft Excel 电子表格。这些 XLSM 文件声称列出了 2025 年 12 月 22 日至 2026 年 1 月 20 日期间在德黑兰被杀害的抗议者名单;然而,诸如年龄和出生日期不符等不一致之处表明这些数据是伪造的。启用宏后,一个基于 VBA 的投放器会使用 AppDomainManager 注入部署一个名为“AppVStreamingUX_Multi_User.dll”的 C# 植入程序。
代码分析表明,根据宏的结构、命名约定和类似于自动或指导性提示的嵌入式注释,开发过程中很可能使用了大型语言模型。
SloppyMIO 后门架构和功能
植入的后门程序名为 SloppyMIO,它严重依赖合法的云平台和协作平台。GitHub 被用作死信箱解析器,用于获取托管图片的 Google 云端硬盘 URL,这些图片通过隐写术隐藏了配置数据。提取的设置包括 Telegram 机器人凭据、聊天标识符以及指向其他有效载荷的链接。
SloppyMIO 支持多个功能模块,可实现命令执行、文件收集和窃取、有效载荷部署、通过计划任务实现持久化以及进程执行。该恶意软件可以按需下载、缓存和运行这些模块,从而使操作者能够对受感染的系统进行广泛的控制。
支持的功能模块包括:
- 通过 Windows 命令解释器执行命令
- 文件收集和基于 ZIP 的文件外泄规模符合 Telegram API 的限制
除了模块化有效载荷交付之外,SloppyMIO 还使用 Telegram Bot API 与其操作员保持持续通信。植入式信标会监测系统状态、轮询指令并通过 Telegram 聊天传输收集到的数据,同时还支持从独立的命令控制端点直接下达任务。
观察到的操作指令包括:
- 触发文件收集和泄露
- 执行任意 shell 命令
- 启动指定的应用程序或进程
归属与历史相似性
此次攻击归因于与伊朗结盟的攻击者主要依据多项指标:波斯语痕迹、与国内动荡相关的诱饵主题,以及与早期攻击活动的策略重叠。值得注意的是,此次攻击与 Tortoiseshell 的行动存在相似之处,Tortoiseshell 此前曾滥用恶意 Excel 文件和 AppDomainManager 注入;此外,此次攻击还与 2022 年 Nemesis Kitten 子集群的一次攻击活动相似,该活动利用 GitHub 分发 Drokbk 后门。人工智能辅助工具的日益普及进一步增加了区分攻击者和确定攻击归属的难度。
并行网络钓鱼行动及其更广泛的影响
此外,调查人员还披露了一起通过 WhatsApp 发起的网络钓鱼活动,该活动使用托管在 DuckDNS 域名上的伪造 WhatsApp Web 界面。该页面持续轮询攻击者控制的终端,以显示一个链接到攻击者自身 WhatsApp Web 会话的实时二维码。受害者扫描该二维码后,会在不知情的情况下验证攻击者的身份,从而授予其完全的账户访问权限。该钓鱼基础设施还会试图获取浏览器的摄像头、麦克风和地理位置访问权限,从而有效地实现实时监控。
其他调查结果显示,还有人通过伪造的登录页面窃取Gmail账号信息,包括密码和双因素认证码。约有50人受到影响,其中包括库尔德社区成员、学者、政府官员、商界领袖和其他知名人士。这些网络钓鱼活动的幕后操纵者及其确切动机尚待确认。
作战技巧与防御意义
GitHub、Google Drive 和 Telegram 等通用平台的广泛使用,不仅阻碍了传统的基于基础设施的追踪手段,同时也为攻击者带来了可利用的元数据和运营安全风险。加之威胁行为者对人工智能的日益重视,像 RedKitten 这样的攻击活动凸显了防御者需要将重点放在行为分析、内容验证和用户意识上,而不是仅仅依赖基础设施指标。
