Pintu Belakang SloppyMIO
Seorang pelaku ancaman berbahasa Parsi yang dinilai selaras dengan kepentingan negara Iran disyaki mengatur kempen pengintipan siber baharu yang menyasarkan pertubuhan bukan kerajaan dan individu yang terlibat dalam mendokumentasikan pelanggaran hak asasi manusia baru-baru ini. Penyelidik keselamatan mengenal pasti aktiviti tersebut pada Januari 2026 dan memberikannya nama kod RedKitten.
Isi kandungan
Konteks Politik dan Strategi Penargetan
Kempen ini bertindih rapat dengan pergolakan meluas di Iran yang bermula pada akhir tahun 2025, didorong oleh inflasi yang mendadak, kenaikan harga makanan, dan penurunan nilai mata wang yang teruk. Tindakan keras kerajaan berikutnya dilaporkan mengakibatkan korban yang banyak dan gangguan internet yang berpanjangan. Operasi ini nampaknya direka untuk mengeksploitasi persekitaran ini dengan memangsa orang yang mencari maklumat tentang penunjuk perasaan yang hilang atau meninggal dunia, memanfaatkan tekanan emosi untuk mendorong urgensi dan mengurangkan keraguan.
Vektor Jangkitan Awal dan Pembangunan Berasaskan LLM
Rantaian pencerobohan bermula dengan arkib 7-Zip yang membawa nama fail bahasa Farsi. Di dalamnya terdapat hamparan Microsoft Excel yang mengandungi makro berniat jahat. Fail XLSM ini bertujuan untuk menyenaraikan penunjuk perasaan yang terbunuh di Tehran antara 22 Disember 2025 dan 20 Januari 2026; walau bagaimanapun, ketidakkonsistenan seperti umur dan tarikh lahir yang tidak sepadan menunjukkan data tersebut direka-reka. Apabila makro diaktifkan, dropper berasaskan VBA menggunakan implan C# bernama 'AppVStreamingUX_Multi_User.dll' menggunakan suntikan AppDomainManager.
Analisis kod menunjukkan bahawa model bahasa yang besar kemungkinan besar digunakan dalam pembangunan, berdasarkan struktur makro, konvensyen penamaan dan komen terbenam yang menyerupai gesaan automatik atau arahan.
Senibina dan Keupayaan Pintu Belakang SloppyMIO
Pintu belakang yang diimplan, yang dikesan sebagai SloppyMIO, banyak bergantung pada platform awan dan kolaborasi yang sah. GitHub digunakan sebagai penyelesai masalah untuk mendapatkan URL Google Drive yang mengehoskan imej yang menyembunyikan data konfigurasi melalui steganografi. Tetapan yang diekstrak termasuk kelayakan bot Telegram, pengecam sembang dan pautan ke muatan tambahan.
SloppyMIO menyokong pelbagai modul berfungsi yang membolehkan pelaksanaan arahan, pengumpulan dan penyingkiran fail, penggunaan muatan, kegigihan melalui tugasan berjadual dan pelaksanaan proses. Perisian hasad ini boleh memuat turun, menyimpan data dan menjalankan modul ini atas permintaan, memberikan pengendali kawalan luas ke atas sistem yang dikompromi.
Modul berfungsi yang disokong termasuk:
- Pelaksanaan arahan melalui penterjemah arahan Windows
- Pengumpulan fail dan penapisan berasaskan ZIP bersaiz mengikut had API Telegram
- Penulisan fail ke direktori data aplikasi setempat menggunakan muatan yang dikodkan imej
- Penciptaan tugasan berjadual untuk pelaksanaan berulang
- Permulaan proses sewenang-wenangnya
- Perintah dan Kawalan melalui Telegram
Selain penghantaran muatan modular, SloppyMIO mengekalkan komunikasi berterusan dengan pengendalinya menggunakan API Telegram Bot. Implan beacon menyemak status sistem, mendapatkan arahan dan menghantar data yang dikumpul melalui sembang Telegram, di samping menyokong tugasan langsung daripada titik akhir arahan dan kawalan yang berasingan.
Arahan operator yang diperhatikan termasuk:
- Mencetuskan pengumpulan fail dan pengekstrakan
- Melaksanakan arahan shell sewenang-wenangnya
- Melancarkan aplikasi atau proses tertentu
Atribusi dan Persamaan Sejarah
Atribusi kepada pelakon yang bersekutu dengan Iran adalah berdasarkan pelbagai petunjuk: artifak bahasa Farsi, tema tarikan yang dikaitkan dengan pergolakan domestik, dan pertindihan taktikal dengan kempen terdahulu. Terutamanya, terdapat persamaan dengan operasi yang dikaitkan dengan Tortoiseshell, yang sebelum ini menyalahgunakan fail Excel berniat jahat dan suntikan AppDomainManager, serta kempen 2022 yang dikaitkan dengan subkluster Nemesis Kitten yang menggunakan GitHub untuk mengedarkan pintu belakang Drokbk. Penggunaan perkakasan berbantukan AI yang semakin meningkat merumitkan lagi pembezaan pelakon dan keyakinan atribusi.
Operasi Pancingan Data Selari dan Impak yang Lebih Luas
Secara berasingan, penyiasat mendedahkan kempen pancingan data yang dihantar melalui WhatsApp yang menggunakan antara muka Web WhatsApp palsu yang dihoskan pada domain DuckDNS. Halaman tersebut secara berterusan meninjau titik akhir yang dikawal penyerang untuk memaparkan kod QR langsung yang dipautkan ke sesi Web WhatsApp musuh sendiri. Mangsa yang mengimbas kod tersebut secara tidak sengaja mengesahkan penyerang, memberikan akses akaun penuh. Infrastruktur pancingan data juga meminta kebenaran pelayar untuk akses kamera, mikrofon dan geolokasi, yang membolehkan pengawasan masa nyata dengan berkesan.
Penemuan tambahan menunjukkan aktiviti berkaitan yang bertujuan untuk mendapatkan kelayakan Gmail, termasuk kata laluan dan kod pengesahan dua faktor, melalui halaman log masuk palsu. Kira-kira 50 individu telah terjejas, merangkumi ahli komuniti Kurdish, ahli akademik, kakitangan kerajaan, pemimpin perniagaan dan tokoh berprofil tinggi yang lain. Pengendali di sebalik usaha pancingan data ini dan motivasi tepat mereka masih belum disahkan.
Kemahiran Dagangan Operasi dan Implikasi Pertahanan
Penggunaan meluas platform komoditi seperti GitHub, Google Drive dan Telegram menghalang penjejakan berasaskan infrastruktur tradisional di samping memperkenalkan metadata yang boleh dieksploitasi dan risiko keselamatan operasi untuk penyerang. Digabungkan dengan penggunaan AI yang semakin meningkat oleh pelaku ancaman, kempen seperti RedKitten menggariskan keperluan pembela untuk memberi tumpuan kepada analisis tingkah laku, pengesahan kandungan dan kesedaran pengguna dan bukannya bergantung sepenuhnya pada penunjuk infrastruktur.
