SloppyMIO aizmugurējās durvis
Persiešu valodā runājošs apdraudējuma subjekts, kas tiek uzskatīts par saistītu ar Irānas valsts interesēm, tiek turēts aizdomās par jaunas kiberizlūkošanas kampaņas organizēšanu, kuras mērķis ir nevalstiskās organizācijas un personas, kas iesaistītas nesen notikušu cilvēktiesību pārkāpumu dokumentēšanā. Drošības pētnieki identificēja šo darbību 2026. gada janvārī un piešķīra tai koda nosaukumu RedKitten.
Satura rādītājs
Politiskais konteksts un mērķauditorijas atlases stratēģija
Kampaņa cieši pārklājas ar plaši izplatītajiem nemieriem Irānā, kas sākās 2025. gada beigās un ko izraisīja strauja inflācija, pieaugošās pārtikas cenas un ievērojama valūtas devalvācija. Ziņots, ka turpmākās valdības represijas izraisīja ievērojamus upurus un ilgstošus interneta darbības traucējumus. Šķiet, ka operācija ir paredzēta, lai izmantotu šo vidi, uzmācoties cilvēkiem, kuri meklē informāciju par pazudušiem vai mirušiem protestētājiem, izmantojot emocionālu stresu, lai radītu steidzamību un mazinātu skepsi.
Sākotnējā infekcijas vektora un LLM virzītas attīstības
Ielaušanās ķēde sākas ar 7-Zip arhīvu, kura faila nosaukums ir persiešu valodā. Tajās atrodas Microsoft Excel izklājlapas ar ļaunprātīgiem makro. Šajos XLSM failos it kā ir uzskaitīti Teherānā laikā no 2025. gada 22. decembra līdz 2026. gada 20. janvārim nogalinātie protestētāji; tomēr neatbilstības, piemēram, neatbilstošs vecums un dzimšanas datums, norāda, ka dati ir safabricēti. Kad makro ir iespējoti, VBA bāzes droppers, izmantojot AppDomainManager injekciju, izvieto C# implantu ar nosaukumu “AppVStraamingUX_Multi_User.dll”.
Koda analīze liecina, ka izstrādē, visticamāk, tika izmantoti lieli valodu modeļi, pamatojoties uz makro struktūru, nosaukumu piešķiršanas konvencijām un iegultajiem komentāriem, kas atgādina automatizētas vai instrukciju uzvednes.
SloppyMIO aizmugurējo durvju arhitektūra un iespējas
Implantētā aizmugurējā durvis, kas izsekotas kā SloppyMIO, lielā mērā balstās uz likumīgām mākoņdatošanas un sadarbības platformām. GitHub tiek izmantots kā dead drop atrisinātājs, lai iegūtu Google Drive URL, kuros tiek mitināti attēli, kas slēpj konfigurācijas datus, izmantojot steganogrāfijas datus. Iegūtie iestatījumi ietver Telegram robota akreditācijas datus, tērzēšanas identifikatorus un saites uz papildu kravām.
SloppyMIO atbalsta vairākus funkcionālos moduļus, kas nodrošina komandu izpildi, failu apkopošanu un eksfiltrāciju, vērtuma izvietošanu, datu saglabāšanu ieplānoto uzdevumu laikā un procesu izpildi. Ļaunprogrammatūra var lejupielādēt, kešatmiņā saglabāt un palaist šos moduļus pēc pieprasījuma, dodot operatoriem plašu kontroli pār apdraudētajām sistēmām.
Atbalstītie funkcionālie moduļi ietver:
- Komandu izpilde, izmantojot Windows komandu interpretatoru
- Failu kolekcija un ZIP formātā veidota eksfiltrācija atbilst Telegram API ierobežojumiem
- Faila ierakstīšana lokālajā lietojumprogrammas datu direktorijā, izmantojot attēla kodētus lietderīgos datus
- Plānotu uzdevumu izveide atkārtotai izpildei
- Patvaļīga procesa uzsākšana
- Komandvadība un kontrole, izmantojot Telegram
Papildus modulārai lietderīgās slodzes piegādei SloppyMIO uztur nepārtrauktu saziņu ar saviem operatoriem, izmantojot Telegram Bot API. Implants ziņo par sistēmas statusu, pieprasa instrukcijas un pārraida apkopotos datus, izmantojot Telegram tērzēšanu, vienlaikus atbalstot arī tiešu uzdevumu veikšanu no atsevišķa komandu un vadības galapunkta.
Novērotās operatora komandas ietver:
- Failu vākšanas un eksfiltrācijas aktivizēšana
- Patvaļīgu čaulas komandu izpilde
- Noteiktu lietojumprogrammu vai procesu palaišana
Atribūcija un vēsturiskās paralēles
Attiecināšana uz Irānas atbalstītiem dalībniekiem balstās uz vairākiem rādītājiem: persiešu valodas artefaktiem, pievilināšanas tēmām, kas saistītas ar iekšzemes nemieriem, un taktisku pārklāšanos ar iepriekšējām kampaņām. Jāatzīmē, ka pastāv līdzības ar operācijām, kas piedēvētas Tortoiseshell, kurš iepriekš ļaunprātīgi izmantoja ļaunprātīgus Excel failus un AppDomainManager injekciju, kā arī 2022. gada kampaņu, kas saistīta ar Nemesis Kitten apakšklasteri, kurš izmantoja GitHub, lai izplatītu Drokbk aizmugurējo durvju sistēmu. Arvien pieaugošā mākslīgā intelekta atbalstītu rīku izmantošana vēl vairāk sarežģī dalībnieku diferenciāciju un attiecināšanas pārliecību.
Paralēlas pikšķerēšanas operācijas un plašāka ietekme
Atsevišķi izmeklētāji atklāja pikšķerēšanas kampaņu, kas tika īstenota, izmantojot WhatsApp, un kurā tiek izmantota viltota WhatsApp tīmekļa saskarne, kas mitināta DuckDNS domēnā. Lapa nepārtraukti aptaujā uzbrucēja kontrolētu galapunktu, lai parādītu tiešraides QR kodu, kas saistīts ar pretinieka paša WhatsApp tīmekļa sesiju. Upuri, skenējot kodu, neapzināti autentificē uzbrucēju, piešķirot pilnīgu piekļuvi kontam. Pikšķerēšanas infrastruktūra arī pieprasa pārlūkprogrammas atļaujas kamerai, mikrofonam un ģeolokācijas piekļuvei, efektīvi nodrošinot uzraudzību reāllaikā.
Papildu atklājumi liecina par saistītām darbībām, kuru mērķis ir iegūt Gmail akreditācijas datus, tostarp paroles un divfaktoru autentifikācijas kodus, izmantojot viltotas pieteikšanās lapas. Ir cietušas aptuveni 50 personas, tostarp kurdu kopienas locekļi, akadēmiķi, valdības darbinieki, uzņēmumu vadītāji un citas augsta ranga personas. Šo pikšķerēšanas centienu organizatori un to precīzie motivācijas avoti joprojām nav apstiprināti.
Operatīvā tirdzniecība un aizsardzības sekas
Plaši izplatīto platformu, piemēram, GitHub, Google Drive un Telegram, izmantošana kavē tradicionālo uz infrastruktūru balstīto izsekošanu, vienlaikus ieviešot uzbrucējiem izmantojamus metadatus un darbības drošības riskus. Apvienojumā ar pieaugošo mākslīgā intelekta izmantošanu no apdraudējumu dalībnieku puses, tādas kampaņas kā RedKitten uzsver nepieciešamību aizstāvjiem koncentrēties uz uzvedības analīzi, satura validāciju un lietotāju informētību, nevis paļauties tikai uz infrastruktūras rādītājiem.
