Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Portes del darrere Porta posterior de SloppyMIO

Porta posterior de SloppyMIO

El Mezo el Portes del darrere, Amenaça persistent avançada (APT)
Traduir a:

Un actor d'amenaces de parla farsi que s'ha considerat alineat amb els interessos de l'estat iranià és sospitós d'orquestrar una nova campanya de ciberespionatge dirigida a organitzacions no governamentals i individus implicats en la documentació de violacions recents dels drets humans. Investigadors de seguretat van identificar l'activitat el gener de 2026 i li van assignar el nom en clau RedKitten.

Context polític i estratègia de segmentació

La campanya coincideix estretament amb els disturbis generalitzats a l'Iran que van començar a finals del 2025, impulsats per una forta inflació, l'escalada dels preus dels aliments i una greu devaluació de la moneda. Segons sembla, les mesures repressives posteriors del govern van provocar un nombre important de víctimes mortals i interrupcions prolongades d'Internet. L'operació sembla dissenyada per explotar aquest entorn aprofitant-se de les persones que busquen informació sobre manifestants desapareguts o morts, aprofitant l'angoixa emocional per induir urgència i reduir l'escepticisme.

Vector d’infecció inicial i desenvolupament impulsat per LLM

La cadena d'intrusions comença amb un arxiu 7-Zip que conté un nom de fitxer en farsi. A dins hi ha fulls de càlcul de Microsoft Excel que contenen macros malicioses. Aquests fitxers XLSM pretenen enumerar els manifestants assassinats a Teheran entre el 22 de desembre de 2025 i el 20 de gener de 2026; tanmateix, les inconsistències com ara edats i dates de naixement que no coincideixen indiquen que les dades són falses. Quan les macros estan habilitades, un dropper basat en VBA desplega un implant de C# anomenat "AppVStreamingUX_Multi_User.dll" mitjançant la injecció d'AppDomainManager.

L'anàlisi del codi suggereix que probablement es van utilitzar models de llenguatge grans en el desenvolupament, basant-se en l'estructura de la macro, les convencions de nomenclatura i els comentaris incrustats que s'assemblen a indicacions automatitzades o instructives.

Arquitectura i capacitats de la porta posterior de SloppyMIO

La porta del darrere implantada, rastrejada com a SloppyMIO, depèn en gran mesura de plataformes legítimes de núvol i col·laboració. GitHub s'utilitza com a resolutor sense sortida per obtenir URL de Google Drive que allotgen imatges que oculten dades de configuració mitjançant esteganografia. La configuració extreta inclou credencials de bot de Telegram, identificadors de xat i enllaços a càrregues útils addicionals.

SloppyMIO admet diversos mòduls funcionals que permeten l'execució d'ordres, la recopilació i exfiltració de fitxers, el desplegament de la càrrega útil, la persistència a través de tasques programades i l'execució de processos. El programari maliciós pot descarregar, emmagatzemar a la memòria cau i executar aquests mòduls sota demanda, donant als operadors un ampli control sobre els sistemes compromesos.

Els mòduls funcionals compatibles inclouen:

  • Execució d'ordres mitjançant l'intèrpret d'ordres de Windows
  • Recopilació de fitxers i exfiltració basada en ZIP dimensionada segons els límits de l'API de Telegram
  • Escriptura de fitxers a un directori de dades d'aplicacions locals mitjançant càrregues útils codificades per imatges
  • Creació de tasques programades per a l'execució recurrent
  • Inici arbitrari del procés
  • Comandament i control via Telegram

Més enllà del lliurament modular de càrrega útil, SloppyMIO manté una comunicació contínua amb els seus operadors mitjançant l'API del bot de Telegram. L'implant informa de l'estat del sistema, sol·licita instruccions i transmet les dades recollides a través dels xats de Telegram, alhora que admet l'assignació directa de tasques des d'un punt final de comandament i control separat.

Les ordres d'operador observades inclouen:

  • Activació de la recopilació i l'exfiltració de fitxers
  • Execució d'ordres arbitràries de shell
  • Llançament d'aplicacions o processos especificats

Atribució i paral·lelismes històrics

L'atribució a actors alineats amb l'Iran es basa en múltiples indicadors: artefactes en llengua farsi, temes d'esquer relacionats amb disturbis interns i solapament tàctic amb campanyes anteriors. Cal destacar que existeixen similituds amb operacions atribuïdes a Tortoiseshell, que anteriorment abusava de fitxers Excel maliciosos i la injecció d'AppDomainManager, així com una campanya del 2022 vinculada a un subclúster de Nemesis Kitten que utilitzava GitHub per distribuir la porta del darrere Drokbk. L'ús creixent d'eines assistides per IA complica encara més la diferenciació d'actors i la confiança en l'atribució.

Operacions de phishing paral·leles i impacte més ampli

Per separat, els investigadors van revelar una campanya de phishing realitzada a través de WhatsApp que utilitza una interfície web de WhatsApp falsificada allotjada en un domini DuckDNS. La pàgina sondeja contínuament un punt final controlat per l'atacant per mostrar un codi QR en directe vinculat a la pròpia sessió web de WhatsApp de l'adversari. Les víctimes que escanegen el codi autenticen l'atacant sense saber-ho, atorgant accés complet al compte. La infraestructura de phishing també busca permisos del navegador per a l'accés a la càmera, el micròfon i la geolocalització, permetent eficaçment la vigilància en temps real.

Altres troballes indiquen una activitat relacionada destinada a obtenir credencials de Gmail, incloses contrasenyes i codis d'autenticació de dos factors, a través de pàgines d'inici de sessió falsificades. Aproximadament 50 persones s'han vist afectades, incloent-hi membres de la comunitat kurda, acadèmics, personal governamental, líders empresarials i altres figures d'alt perfil. Els operadors darrere d'aquests esforços de phishing i les seves motivacions precises continuen sense confirmar-se.

Habilitats operatives i implicacions defensives

L'ús extensiu de plataformes comercialitzades com ara GitHub, Google Drive i Telegram dificulta el seguiment tradicional basat en infraestructures alhora que introdueix metadades explotables i riscos de seguretat operativa per als atacants. Combinat amb l'adopció creixent de la IA per part dels actors d'amenaces, campanyes com RedKitten subratllen la necessitat que els defensors se centrin en l'anàlisi del comportament, la validació del contingut i la consciència dels usuaris en lloc de confiar únicament en indicadors d'infraestructura.

Tendència

Estafa per correu electrònic d'avís d'error de domini

Phishing, Correu brossa
És essencial mantenir-se alerta quan es tracta de correus electrònics inesperats. Els ciberdelinqüents sovint exploten la confiança i la urgència per enganyar els destinataris i fer-los prendre decisions perjudicials. Els missatges fraudulents sovint es redacten acuradament per semblar legítims, tot i que no estan associats a cap empresa, organització o proveïdor de serveis real. Una d'aquestes...

Més vist

Carregant...