SloppyMIO Backdoor
ইরানের রাষ্ট্রীয় স্বার্থের সাথে সম্পৃক্ত বলে মূল্যায়ন করা একজন ফার্সিভাষী হুমকি অভিনেতাকে সন্দেহ করা হচ্ছে যে তিনি সাম্প্রতিক মানবাধিকার লঙ্ঘনের নথিভুক্তকরণে জড়িত বেসরকারি সংস্থা এবং ব্যক্তিদের লক্ষ্য করে একটি নতুন সাইবার-গুপ্তচরবৃত্তি প্রচারণা পরিচালনা করছেন। নিরাপত্তা গবেষকরা ২০২৬ সালের জানুয়ারিতে এই কার্যকলাপটি সনাক্ত করেন এবং এর কোডনাম রেডকিটেন রাখেন।
সুচিপত্র
রাজনৈতিক প্রেক্ষাপট এবং লক্ষ্যবস্তু কৌশল
এই অভিযানটি ২০২৫ সালের শেষের দিকে ইরানে শুরু হওয়া ব্যাপক অস্থিরতার সাথে ঘনিষ্ঠভাবে মিলে যায়, যা তীব্র মুদ্রাস্ফীতি, খাদ্যের দাম বৃদ্ধি এবং মুদ্রার তীব্র অবমূল্যায়নের কারণে পরিচালিত হয়েছিল। পরবর্তীকালে সরকারি কঠোর ব্যবস্থার ফলে উল্লেখযোগ্য হতাহতের ঘটনা ঘটে এবং দীর্ঘস্থায়ী ইন্টারনেট ব্যাঘাত ঘটে বলে জানা গেছে। মনে হচ্ছে এই অভিযানটি নিখোঁজ বা মৃত বিক্ষোভকারীদের সম্পর্কে তথ্য অনুসন্ধানকারী লোকেদের শিকার করে, আবেগগত যন্ত্রণাকে কাজে লাগিয়ে জরুরিতা এবং সন্দেহবাদিতা কমাতে এই পরিবেশকে কাজে লাগানোর জন্য তৈরি করা হয়েছে।
প্রাথমিক সংক্রমণ ভেক্টর এবং এলএলএম-চালিত উন্নয়ন
অনুপ্রবেশের এই শৃঙ্খলা শুরু হয় একটি ৭-জিপ আর্কাইভ দিয়ে যার একটি ফার্সি-ভাষার ফাইলের নাম রয়েছে। এর ভেতরে মাইক্রোসফ্ট এক্সেল স্প্রেডশিট রয়েছে যাতে ক্ষতিকারক ম্যাক্রো রয়েছে। এই XLSM ফাইলগুলি ২২ ডিসেম্বর, ২০২৫ থেকে ২০ জানুয়ারী, ২০২৬ এর মধ্যে তেহরানে নিহত বিক্ষোভকারীদের তালিকাভুক্ত করার দাবি করে; তবে, বয়স এবং জন্মতারিখের অমিলের মতো অসঙ্গতিগুলি ইঙ্গিত দেয় যে ডেটাটি তৈরি করা হয়েছে। যখন ম্যাক্রোগুলি সক্রিয় করা হয়, তখন একটি VBA-ভিত্তিক ড্রপার AppDomainManager ইনজেকশন ব্যবহার করে 'AppVStreamingUX_Multi_User.dll' নামে একটি C# ইমপ্লান্ট স্থাপন করে।
কোড বিশ্লেষণ থেকে জানা যায় যে ম্যাক্রোর কাঠামো, নামকরণের রীতিনীতি এবং স্বয়ংক্রিয় বা নির্দেশমূলক প্রম্পটের মতো এমবেডেড মন্তব্যের উপর ভিত্তি করে বৃহৎ ভাষার মডেলগুলি সম্ভবত উন্নয়নে ব্যবহৃত হয়েছিল।
SloppyMIO ব্যাকডোর স্থাপত্য এবং ক্ষমতা
স্লোপিএমআইও নামে ট্র্যাক করা এই ইমপ্লান্টেড ব্যাকডোরটি বৈধ ক্লাউড এবং সহযোগিতা প্ল্যাটফর্মের উপর ব্যাপকভাবে নির্ভর করে। স্টেগানোগ্রাফির মাধ্যমে কনফিগারেশন ডেটা গোপন করে এমন ছবি হোস্ট করে এমন গুগল ড্রাইভ ইউআরএল পেতে গিটহাবকে একটি ডেড ড্রপ রেজলভার হিসেবে ব্যবহার করা হয়। এক্সট্র্যাক্ট করা সেটিংসের মধ্যে রয়েছে টেলিগ্রাম বট শংসাপত্র, চ্যাট শনাক্তকারী এবং অতিরিক্ত পেলোডের লিঙ্ক।
SloppyMIO একাধিক কার্যকরী মডিউল সমর্থন করে যা কমান্ড এক্সিকিউশন, ফাইল সংগ্রহ এবং এক্সফিল্ট্রেশন, পেলোড ডিপ্লয়মেন্ট, নির্ধারিত কাজের মাধ্যমে স্থায়িত্ব এবং প্রক্রিয়া এক্সিকিউশন সক্ষম করে। ম্যালওয়্যারটি চাহিদা অনুযায়ী এই মডিউলগুলি ডাউনলোড, ক্যাশে এবং চালাতে পারে, যা অপারেটরদের আপোস করা সিস্টেমের উপর বিস্তৃত নিয়ন্ত্রণ দেয়।
সমর্থিত কার্যকরী মডিউলগুলির মধ্যে রয়েছে:
- উইন্ডোজ কমান্ড ইন্টারপ্রেটারের মাধ্যমে কমান্ড এক্সিকিউশন
- টেলিগ্রাম এপিআই সীমার মধ্যে ফাইল সংগ্রহ এবং জিপ-ভিত্তিক এক্সফিল্ট্রেশনের আকার
- ইমেজ-এনকোডেড পেলোড ব্যবহার করে স্থানীয় অ্যাপ্লিকেশন ডেটা ডিরেক্টরিতে ফাইল লেখা
- পুনরাবৃত্ত সম্পাদনের জন্য নির্ধারিত-কাজ তৈরি
- স্বেচ্ছাচারী প্রক্রিয়ার সূচনা
- টেলিগ্রামের মাধ্যমে কমান্ড-এন্ড-কন্ট্রোল
মডুলার পেলোড ডেলিভারির বাইরে, SloppyMIO টেলিগ্রাম বট API ব্যবহার করে তার অপারেটরদের সাথে অবিচ্ছিন্ন যোগাযোগ বজায় রাখে। ইমপ্লান্টটি সিস্টেমের অবস্থা নির্দেশ করে, নির্দেশাবলীর জন্য পোল করে এবং টেলিগ্রাম চ্যাটের মাধ্যমে সংগৃহীত ডেটা প্রেরণ করে, একই সাথে একটি পৃথক কমান্ড-এন্ড-কন্ট্রোল এন্ডপয়েন্ট থেকে সরাসরি টাস্কিং সমর্থন করে।
পর্যবেক্ষণকৃত অপারেটর কমান্ডগুলির মধ্যে রয়েছে:
- ফাইল সংগ্রহ এবং এক্সফিল্ট্রেশন ট্রিগার করা হচ্ছে
- ইচ্ছামত শেল কমান্ড কার্যকর করা
- নির্দিষ্ট অ্যাপ্লিকেশন বা প্রক্রিয়া চালু করা
বৈশিষ্ট্য এবং ঐতিহাসিক সমান্তরালতা
ইরান-জোটবদ্ধ অভিনেতাদের উপর আরোপিত বৈশিষ্ট্য একাধিক সূচকের উপর ভিত্তি করে তৈরি করা হয়েছে: ফার্সি-ভাষার শিল্পকর্ম, ঘরোয়া অস্থিরতার সাথে সম্পর্কিত লোভনীয় থিম এবং পূর্ববর্তী প্রচারণার সাথে কৌশলগত ওভারল্যাপ। উল্লেখযোগ্যভাবে, টর্টোয়েশেলের সাথে সম্পর্কিত অপারেশনগুলির সাথে মিল রয়েছে, যা পূর্বে দূষিত এক্সেল ফাইল এবং অ্যাপডোমেইনম্যানেজার ইনজেকশনের অপব্যবহার করেছিল, পাশাপাশি 2022 সালের একটি প্রচারণা যা নেমেসিস কিটেন সাব-ক্লাস্টারের সাথে যুক্ত ছিল যা ড্রোকব্যাক ব্যাকডোর বিতরণ করার জন্য গিটহাব ব্যবহার করেছিল। এআই-সহায়তাযুক্ত সরঞ্জামের ক্রমবর্ধমান ব্যবহার অভিনেতাদের পার্থক্য এবং অ্যাট্রিবিউশন আত্মবিশ্বাসকে আরও জটিল করে তোলে।
সমান্তরাল ফিশিং কার্যক্রম এবং বিস্তৃত প্রভাব
পৃথকভাবে, তদন্তকারীরা হোয়াটসঅ্যাপের মাধ্যমে পরিচালিত একটি ফিশিং প্রচারণা প্রকাশ করেছেন যা একটি DuckDNS ডোমেনে হোস্ট করা একটি জাল হোয়াটসঅ্যাপ ওয়েব ইন্টারফেস ব্যবহার করে। পৃষ্ঠাটি ক্রমাগত একটি আক্রমণকারী-নিয়ন্ত্রিত এন্ডপয়েন্ট পোল করে প্রতিপক্ষের নিজস্ব হোয়াটসঅ্যাপ ওয়েব সেশনের সাথে সংযুক্ত একটি লাইভ QR কোড প্রদর্শন করে। কোডটি স্ক্যান করা ভুক্তভোগীরা অজান্তেই আক্রমণকারীকে প্রমাণীকরণ করে, সম্পূর্ণ অ্যাকাউন্ট অ্যাক্সেস প্রদান করে। ফিশিং অবকাঠামো ক্যামেরা, মাইক্রোফোন এবং ভূ-অবস্থান অ্যাক্সেসের জন্য ব্রাউজারের অনুমতিও চায়, যা কার্যকরভাবে রিয়েল-টাইম নজরদারি সক্ষম করে।
অতিরিক্ত অনুসন্ধানে দেখা গেছে যে, জাল লগইন পৃষ্ঠাগুলির মাধ্যমে পাসওয়ার্ড এবং দ্বি-ফ্যাক্টর প্রমাণীকরণ কোড সহ জিমেইল শংসাপত্র সংগ্রহের লক্ষ্যে সম্পর্কিত কার্যকলাপ চালানো হয়েছিল। প্রায় ৫০ জন ব্যক্তি এই ঘটনায় আক্রান্ত হয়েছেন, যাদের মধ্যে কুর্দি সম্প্রদায়ের সদস্য, শিক্ষাবিদ, সরকারি কর্মী, ব্যবসায়ী নেতা এবং অন্যান্য উচ্চপদস্থ ব্যক্তিত্ব রয়েছেন। এই ফিশিং প্রচেষ্টার পিছনের অপারেটর এবং তাদের সঠিক উদ্দেশ্য এখনও নিশ্চিত নয়।
অপারেশনাল ট্রেডক্রাফট এবং প্রতিরক্ষামূলক প্রভাব
গিটহাব, গুগল ড্রাইভ এবং টেলিগ্রামের মতো পণ্যভিত্তিক প্ল্যাটফর্মের ব্যাপক ব্যবহার ঐতিহ্যবাহী অবকাঠামো-ভিত্তিক ট্র্যাকিংকে বাধাগ্রস্ত করে এবং একই সাথে আক্রমণকারীদের জন্য শোষণযোগ্য মেটাডেটা এবং অপারেশনাল নিরাপত্তা ঝুঁকি তৈরি করে। হুমকিদাতাদের দ্বারা AI-এর ক্রমবর্ধমান গ্রহণের সাথে মিলিত হয়ে, রেডকিটেনের মতো প্রচারাভিযানগুলি কেবলমাত্র অবকাঠামো সূচকের উপর নির্ভর না করে আচরণগত বিশ্লেষণ, বিষয়বস্তু যাচাইকরণ এবং ব্যবহারকারী সচেতনতার উপর মনোনিবেশ করার প্রয়োজনীয়তার উপর জোর দেয়।
