SloppyMIO ब्याकडोर

इरानी राज्यको हितसँग मिल्दोजुल्दो मूल्याङ्कन गरिएको फारसी भाषा बोल्ने धम्की दिने व्यक्तिले हालैका मानवअधिकार उल्लङ्घनहरूको दस्तावेजीकरणमा संलग्न गैर-सरकारी संस्थाहरू र व्यक्तिहरूलाई लक्षित गर्दै नयाँ साइबर-जासूसी अभियान सञ्चालन गरेको आशंका गरिएको छ। सुरक्षा अनुसन्धानकर्ताहरूले जनवरी २०२६ मा गतिविधि पहिचान गरे र यसलाई रेडकिटन कोडनेम दिए।

राजनीतिक सन्दर्भ र लक्षित रणनीति

यो अभियान २०२५ को अन्त्यतिर इरानमा सुरु भएको व्यापक अशान्तिसँग नजिकबाट मिल्दोजुल्दो छ, जुन तीव्र मुद्रास्फीति, खाद्यान्नको मूल्यमा वृद्धि र मुद्राको गम्भीर अवमूल्यनबाट सञ्चालित थियो। त्यसपछिका सरकारी कारबाहीका कारण उल्लेखनीय हताहत र लामो समयसम्म इन्टरनेट अवरोध भएको बताइएको छ। यो अपरेशन बेपत्ता वा मृतक प्रदर्शनकारीहरूको बारेमा जानकारी खोज्ने मानिसहरूलाई शिकार बनाएर, भावनात्मक पीडालाई तत्कालता र शंका कम गर्न उत्प्रेरित गरेर यस वातावरणको शोषण गर्न डिजाइन गरिएको देखिन्छ।

प्रारम्भिक संक्रमण भेक्टर र LLM-संचालित विकास

घुसपैठको शृङ्खला फारसी-भाषा फाइलनाम बोकेको ७-जिप अभिलेखबाट सुरु हुन्छ। भित्र दुर्भावनापूर्ण म्याक्रोहरू भएका माइक्रोसफ्ट एक्सेल स्प्रेडसिटहरू छन्। यी XLSM फाइलहरूले डिसेम्बर २२, २०२५ र जनवरी २०, २०२६ बीचमा तेहरानमा मारिएका प्रदर्शनकारीहरूलाई सूचीबद्ध गर्ने दाबी गर्छन्; यद्यपि, बेमेल उमेर र जन्ममिति जस्ता असंगतिहरूले डेटा बनावटी भएको संकेत गर्दछ। जब म्याक्रोहरू सक्षम हुन्छन्, VBA-आधारित ड्रपरले AppDomainManager इंजेक्शन प्रयोग गरेर 'AppVStreamingUX_Multi_User.dll' नामक C# इम्प्लान्ट तैनाथ गर्दछ।

कोड विश्लेषणले सुझाव दिन्छ कि म्याक्रोको संरचना, नामकरण परम्पराहरू, र स्वचालित वा निर्देशनात्मक प्रम्प्टहरू जस्तै एम्बेडेड टिप्पणीहरूको आधारमा विकासमा ठूला भाषा मोडेलहरू प्रयोग गरिएको हुन सक्छ।

SloppyMIO ब्याकडोर वास्तुकला र क्षमताहरू

SloppyMIO को रूपमा ट्र्याक गरिएको प्रत्यारोपित ब्याकडोर, वैध क्लाउड र सहकार्य प्लेटफर्महरूमा धेरै निर्भर गर्दछ। स्टेगानोग्राफी मार्फत कन्फिगरेसन डेटा लुकाउने छविहरू होस्ट गर्ने गुगल ड्राइभ URL हरू प्राप्त गर्न GitHub लाई डेड ड्रप रिजल्भरको रूपमा प्रयोग गरिन्छ। निकालिएका सेटिङहरूमा टेलिग्राम बट प्रमाणहरू, च्याट पहिचानकर्ताहरू, र अतिरिक्त पेलोडहरूको लिङ्कहरू समावेश छन्।

SloppyMIO ले कमाण्ड कार्यान्वयन, फाइल सङ्कलन र एक्सफिल्ट्रेसन, पेलोड डिप्लोयमेन्ट, निर्धारित कार्यहरू मार्फत निरन्तरता, र प्रक्रिया कार्यान्वयन सक्षम पार्ने धेरै कार्यात्मक मोड्युलहरूलाई समर्थन गर्दछ। मालवेयरले माग अनुसार यी मोड्युलहरू डाउनलोड, क्यास र चलाउन सक्छ, जसले अपरेटरहरूलाई सम्झौता गरिएका प्रणालीहरूमा व्यापक नियन्त्रण दिन्छ।

समर्थित कार्यात्मक मोड्युलहरूमा समावेश छन्:

• विन्डोज कमाण्ड इन्टरप्रेटर मार्फत कमाण्ड कार्यान्वयन
• फाइल सङ्कलन र जिप-आधारित एक्सफिल्ट्रेसनलाई टेलिग्राम एपीआई सीमामा आकार दिइएको छ

मोड्युलर पेलोड डेलिभरी बाहेक, SloppyMIO ले टेलिग्राम बट एपीआई प्रयोग गरेर आफ्ना अपरेटरहरूसँग निरन्तर सञ्चार कायम राख्छ। इम्प्लान्टले प्रणाली स्थिति, निर्देशनहरूको लागि मतदान, र टेलिग्राम च्याटहरू मार्फत सङ्कलन गरिएको डेटा प्रसारण गर्दछ, जबकि छुट्टै कमाण्ड-एन्ड-कन्ट्रोल एन्डपोइन्टबाट प्रत्यक्ष कार्यलाई समर्थन गर्दछ।

अवलोकन गरिएका अपरेटर आदेशहरूमा समावेश छन्:

• फाइल सङ्कलन र एक्सफिल्ट्रेसन ट्रिगर गर्दै
• मनमानी शेल आदेशहरू कार्यान्वयन गर्दै
• निर्दिष्ट अनुप्रयोगहरू वा प्रक्रियाहरू सुरु गर्दै

विशेषता र ऐतिहासिक समानताहरू

इरानी-सम्बद्ध अभिनेताहरूको श्रेय धेरै सूचकहरूमा आधारित छ: फारसी-भाषा कलाकृतिहरू, घरेलु अशान्तिसँग जोडिएका प्रलोभन विषयवस्तुहरू, र पहिलेका अभियानहरूसँग रणनीतिक ओभरल्याप। उल्लेखनीय रूपमा, Tortoiseshell लाई श्रेय दिइएको अपरेशनहरूसँग समानताहरू छन्, जसले पहिले दुर्भावनापूर्ण एक्सेल फाइलहरू र AppDomainManager इन्जेक्सनको दुरुपयोग गर्‍यो, साथै Drokbk ब्याकडोर वितरण गर्न GitHub प्रयोग गर्ने नेमेसिस किटन उप-क्लस्टरसँग जोडिएको २०२२ अभियान। AI-सहायता प्राप्त उपकरणको बढ्दो प्रयोगले अभिनेता भिन्नता र श्रेय विश्वासलाई अझ जटिल बनाउँछ।

समानान्तर फिसिङ सञ्चालन र व्यापक प्रभाव

छुट्टै रूपमा, अनुसन्धानकर्ताहरूले डकडीएनएस डोमेनमा होस्ट गरिएको नक्कली व्हाट्सएप वेब इन्टरफेस प्रयोग गर्ने व्हाट्सएप मार्फत डेलिभर गरिएको फिसिङ अभियानको खुलासा गरे। पृष्ठले विपक्षीको आफ्नै व्हाट्सएप वेब सत्रसँग लिङ्क गरिएको प्रत्यक्ष QR कोड प्रदर्शन गर्न आक्रमणकारी-नियन्त्रित अन्त्य बिन्दुलाई निरन्तर मतदान गर्दछ। कोड स्क्यान गर्ने पीडितहरूले अनजानमा आक्रमणकारीलाई प्रमाणित गर्छन्, पूर्ण खाता पहुँच प्रदान गर्छन्। फिसिङ पूर्वाधारले क्यामेरा, माइक्रोफोन, र भौगोलिक स्थान पहुँचको लागि ब्राउजर अनुमतिहरू पनि खोज्छ, जसले प्रभावकारी रूपमा वास्तविक-समय निगरानी सक्षम गर्दछ।

थप खोजहरूले नक्कली लगइन पृष्ठहरू मार्फत पासवर्ड र दुई-कारक प्रमाणीकरण कोडहरू सहित Gmail प्रमाणहरू सङ्कलन गर्ने उद्देश्यले सम्बन्धित गतिविधिलाई संकेत गर्दछ। लगभग ५० व्यक्तिहरू प्रभावित भएका छन्, जसमा कुर्दिश समुदायका सदस्यहरू, शिक्षाविद्हरू, सरकारी कर्मचारीहरू, व्यापारिक नेताहरू, र अन्य उच्च-प्रोफाइल व्यक्तिहरू समावेश छन्। यी फिसिङ प्रयासहरू पछाडिका सञ्चालकहरू र तिनीहरूको सटीक प्रेरणाहरू अपुष्ट छन्।

सञ्चालन व्यापारिक शिल्प र रक्षात्मक प्रभावहरू

GitHub, Google Drive, र Telegram जस्ता वस्तुगत प्लेटफर्महरूको व्यापक प्रयोगले परम्परागत पूर्वाधार-आधारित ट्र्याकिङमा बाधा पुर्‍याउँछ जबकि एकै साथ आक्रमणकारीहरूको लागि शोषणयोग्य मेटाडेटा र परिचालन सुरक्षा जोखिमहरू प्रस्तुत गर्दछ। खतरा अभिनेताहरू द्वारा AI को बढ्दो अपनाइसँगै, RedKitten जस्ता अभियानहरूले रक्षकहरूले पूर्वाधार सूचकहरूमा मात्र भर पर्नुको सट्टा व्यवहारिक विश्लेषण, सामग्री प्रमाणीकरण, र प्रयोगकर्ता जागरूकतामा ध्यान केन्द्रित गर्ने आवश्यकतालाई जोड दिन्छ।