SloppyMIO Achterdeur
Een Farsi-sprekende dader, die vermoedelijk banden heeft met de Iraanse staat, wordt ervan verdacht een nieuwe cyber-spionagecampagne te hebben opgezet tegen niet-gouvernementele organisaties en individuen die recente mensenrechtenschendingen documenteren. Beveiligingsonderzoekers ontdekten de activiteit in januari 2026 en gaven deze de codenaam RedKitten.
Inhoudsopgave
Politieke context en doelgerichte strategie
De campagne overlapt nauw met de wijdverspreide onrust in Iran die eind 2025 begon, aangewakkerd door scherpe inflatie, stijgende voedselprijzen en een ernstige devaluatie van de munt. De daaropvolgende harde aanpak door de overheid zou aanzienlijke slachtoffers hebben geëist en langdurige internetstoringen hebben veroorzaakt. De operatie lijkt erop gericht deze situatie uit te buiten door mensen te misleiden die op zoek zijn naar informatie over vermiste of overleden demonstranten, waarbij emotionele nood wordt gebruikt om urgentie te creëren en scepsis te verminderen.
Initiële infectievector en LLM-gestuurde ontwikkeling
De inbraakketen begint met een 7-Zip-archief met een Farsi-bestandsnaam. Daarin bevinden zich Microsoft Excel-spreadsheets met kwaadaardige macro's. Deze XLSM-bestanden beweren een lijst te bevatten van demonstranten die tussen 22 december 2025 en 20 januari 2026 in Teheran zijn omgekomen; inconsistenties zoals afwijkende leeftijden en geboortedata wijzen er echter op dat de gegevens vervalst zijn. Wanneer de macro's zijn ingeschakeld, implementeert een op VBA gebaseerde dropper een C#-implantaat met de naam 'AppVStreamingUX_Multi_User.dll' via AppDomainManager-injectie.
Codeanalyse suggereert dat er waarschijnlijk gebruik is gemaakt van grote taalmodellen tijdens de ontwikkeling, gebaseerd op de structuur van de macro's, naamgevingsconventies en ingebedde commentaren die lijken op geautomatiseerde of instructieve aanwijzingen.
SloppyMIO-achterdeurarchitectuur en -mogelijkheden
De geïmplanteerde backdoor, die wordt getraceerd onder de naam SloppyMIO, maakt veelvuldig gebruik van legitieme cloud- en samenwerkingsplatformen. GitHub wordt gebruikt als een zogenaamde 'dead drop'-resolver om Google Drive-URL's te verkrijgen die afbeeldingen hosten waarin configuratiegegevens via steganografie zijn verborgen. De geëxtraheerde instellingen omvatten Telegram-botgegevens, chat-ID's en links naar aanvullende payloads.
SloppyMIO ondersteunt meerdere functionele modules die het uitvoeren van commando's, het verzamelen en exfiltreren van bestanden, het implementeren van payloads, persistentie via geplande taken en het uitvoeren van processen mogelijk maken. De malware kan deze modules downloaden, cachen en op aanvraag uitvoeren, waardoor beheerders uitgebreide controle over gecompromitteerde systemen krijgen.
Ondersteunde functionele modules zijn onder andere:
- Opdrachten uitvoeren via de Windows-opdrachtinterpreter
- Het verzamelen en exfiltreren van bestanden via ZIP-bestanden is beperkt tot de limieten van de Telegram API.
- Bestanden schrijven naar een lokale applicatiegegevensmap met behulp van afbeeldingsgecodeerde payloads.
- Aanmaken van een geplande taak voor terugkerende uitvoering
- Willekeurige processtart
- Commandovoering en controle via Telegram
Naast het modulair afleveren van de payload, onderhoudt SloppyMIO continue communicatie met zijn operators via de Telegram Bot API. De implantaatbakens geven de systeemstatus weer, vragen om instructies en verzenden verzamelde gegevens via Telegram-chats, terwijl ze ook directe opdrachten ondersteunen vanaf een apart command-and-control-eindpunt.
De waargenomen operatorcommando's omvatten:
- Het in gang zetten van het verzamelen en exfiltreren van bestanden.
- Het uitvoeren van willekeurige shell-opdrachten
- Het starten van specifieke applicaties of processen
Toeschrijving en historische parallellen
De toewijzing aan aan Iran gelieerde actoren is gebaseerd op meerdere indicatoren: artefacten in de Perzische taal, lokthema's die verband houden met binnenlandse onrust en tactische overeenkomsten met eerdere campagnes. Opvallend zijn de overeenkomsten met operaties die worden toegeschreven aan Tortoiseshell, dat eerder misbruik maakte van kwaadaardige Excel-bestanden en AppDomainManager-injectie, evenals een campagne uit 2022 die gelinkt is aan een subgroep van Nemesis Kitten die GitHub gebruikte om de Drokbk-backdoor te verspreiden. Het toenemende gebruik van AI-ondersteunde tools bemoeilijkt de differentiatie van actoren en de zekerheid van de toewijzing verder.
Parallelle phishingaanvallen en de bredere impact daarvan
Daarnaast hebben onderzoekers een phishingcampagne via WhatsApp ontdekt, waarbij gebruik wordt gemaakt van een vervalste WhatsApp Web-interface die gehost wordt op een DuckDNS-domein. De pagina peilt continu een door de aanvaller beheerd apparaat om een live QR-code weer te geven die is gekoppeld aan de eigen WhatsApp Web-sessie van de aanvaller. Slachtoffers die de code scannen, authenticeren de aanvaller onbewust en verlenen hem volledige toegang tot zijn account. De phishinginfrastructuur vraagt ook om browserrechten voor toegang tot de camera, microfoon en geolocatie, waardoor realtime surveillance mogelijk wordt.
Aanvullende bevindingen wijzen op verwante activiteiten gericht op het bemachtigen van Gmail-inloggegevens, waaronder wachtwoorden en tweefactorauthenticatiecodes, via vervalste inlogpagina's. Ongeveer 50 personen zijn getroffen, waaronder leden van de Koerdische gemeenschap, academici, overheidsfunctionarissen, zakenmensen en andere prominente figuren. De daders achter deze phishingpogingen en hun precieze motieven zijn nog niet bevestigd.
Operationele tactieken en defensieve implicaties
Het wijdverbreide gebruik van gestandaardiseerde platforms zoals GitHub, Google Drive en Telegram belemmert traditionele, op infrastructuur gebaseerde tracking en introduceert tegelijkertijd exploiteerbare metadata en operationele beveiligingsrisico's voor aanvallers. In combinatie met de toenemende toepassing van AI door cybercriminelen, benadrukken campagnes zoals RedKitten de noodzaak voor verdedigers om zich te richten op gedragsanalyse, contentvalidatie en gebruikersbewustzijn in plaats van uitsluitend te vertrouwen op infrastructuurindicatoren.
