SloppyMIO задња врата
Претња коју је преузео персијски језик, за кога се процењује да је повезан са интересима иранске државе, осумњичена је за организовање нове кампање сајбер шпијунаже усмерене на невладине организације и појединце који су укључени у документовање недавних кршења људских права. Истраживачи безбедности идентификовали су активност у јануару 2026. године и доделили јој кодно име RedKitten.
Преглед садржаја
Политички контекст и стратегија циљања
Кампања се уско преклапа са широко распрострањеним немирима у Ирану који су почели крајем 2025. године, изазвани наглом инфлацијом, растом цена хране и значајном девалвацијом валуте. Накнадне владине репресије су наводно резултирале значајним жртвама и дуготрајним прекидима интернета. Чини се да је операција осмишљена да искористи ово окружење тако што ће се хватати за људе који траже информације о несталим или преминулим демонстрантима, користећи емоционалну патњу како би се изазвала хитност и смањио скептицизам.
Вектор почетне инфекције и развој вођен LLM-ом
Ланац упада почиње 7-Zip архивом која носи име датотеке на фарси језику. Унутра се налазе Microsoft Excel табеле које садрже злонамерне макрое. Ови XLSM фајлови наводно наводно наводе демонстранте убијене у Техерану између 22. децембра 2025. и 20. јануара 2026. године; међутим, недоследности попут неусклађених година и датума рођења указују на то да су подаци измишљени. Када су макрои омогућени, VBA-базирани дропер примењује C# имплантат под називом „AppVStreamingUX_Multi_User.dll“ користећи AppDomainManager инјекцију.
Анализа кода сугерише да су велики језички модели вероватно коришћени у развоју, на основу структуре макроа, конвенција именовања и уграђених коментара који подсећају на аутоматизоване или инструктивне упите.
Архитектура и могућности задњих врата SloppyMIO
Имплантирани бекдор, праћен као SloppyMIO, у великој мери се ослања на легитимне cloud и сарадничке платформе. GitHub се користи као решавач мртвих локација за добијање URL-ова Google Drive-а који хостују слике које прикривају податке о конфигурацији путем стеганографије. Издвојена подешавања укључују акредитиве Telegram бота, идентификаторе ћаскања и линкове до додатних корисних података.
SloppyMIO подржава више функционалних модула који омогућавају извршавање команди, прикупљање и уклањање датотека, распоређивање корисног терета, постојаност кроз заказане задатке и извршавање процеса. Злонамерни софтвер може да преузима, кешира и покреће ове модуле на захтев, дајући оператерима широку контролу над угроженим системима.
Подржани функционални модули укључују:
- Извршавање команди преко Windows командног интерпретера
- Прикупљање датотека и ексфилтрација заснована на ZIP-у величине до ограничења Telegram API-ја
- Уписивање датотека у локални директоријум података апликације коришћењем корисних оптерећења кодираних сликама
- Креирање заказаних задатака за понављајуће извршавање
- Покретање произвољног процеса
- Командовање и контрола путем Телеграма
Поред модуларне испоруке корисног оптерећења, SloppyMIO одржава континуирану комуникацију са својим оператерима користећи Telegram Bot API. Имплантат прати статус система, тражи инструкције и преноси прикупљене податке путем Telegram ћаскања, а истовремено подржава директно задавање задатака са посебне крајње тачке за командовање и контролу.
Посматране команде оператера укључују:
- Покретање прикупљања и извлачења датотека
- Извршавање произвољних команди шелла
- Покретање одређених апликација или процеса
Атрибуција и историјске паралеле
Приписивање актерима повезаним са Ираном заснива се на вишеструким индикаторима: артефакти на фарси језику, мамљиве теме повезане са домаћим немирима и тактичко преклапање са ранијим кампањама. Приметно је да постоје сличности са операцијама које се приписују Tortoiseshell-у, који је раније злоупотребљавао злонамерне Excel датотеке и AppDomainManager инјекције, као и кампања из 2022. године повезана са подкластером Nemesis Kitten који је користио GitHub за дистрибуцију Drokbk бекдора. Све већа употреба алата потпомогнутих вештачком интелигенцијом додатно компликује разликовање актера и поверење у приписивање.
Паралелне фишинг операције и шири утицај
Одвојено, истражитељи су открили фишинг кампању спроведену путем WhatsApp-а која користи лажни WhatsApp веб интерфејс хостован на DuckDNS домену. Страница континуирано испитује крајњу тачку коју контролише нападач како би приказала QR код уживо повезан са сопственом WhatsApp веб сесијом противника. Жртве које скенирају код несвесно аутентификују нападача, дајући му потпун приступ налогу. Фишинг инфраструктура такође тражи дозволе прегледача за приступ камери, микрофону и геолокацији, ефикасно омогућавајући надзор у реалном времену.
Додатни налази указују на повезане активности усмерене на крађу Gmail акредитива, укључујући лозинке и кодове за двофакторску аутентификацију, путем фалсификованих страница за пријаву. Погођено је приближно 50 особа, међу којима су чланови курдске заједнице, академици, владини службеници, пословни лидери и друге познате личности. Оператори који стоје иза ових фишинг напора и њихове прецизне мотивације остају непотврђене.
Оперативне занатске и одбрамбене импликације
Широка употреба комерцијализованих платформи као што су GitHub, Google Drive и Telegram отежава традиционално праћење засновано на инфраструктури, а истовремено уводи метаподатке који се могу искористити и ризике од оперативне безбедности за нападаче. У комбинацији са све већим усвајањем вештачке интелигенције од стране претњи, кампање попут RedKitten-а наглашавају потребу да се браниоци фокусирају на анализу понашања, валидацију садржаја и свест корисника, уместо да се ослањају искључиво на индикаторе инфраструктуре.
