SloppyMIO Backdoor
Isang aktor ng banta na nagsasalita ng Farsi na tinatayang nakahanay sa mga interes ng estado ng Iran ang pinaghihinalaang nagpaplano ng isang bagong kampanya sa cyber-espionage na tumatarget sa mga non-governmental na organisasyon at mga indibidwal na sangkot sa pagdodokumento ng mga kamakailang paglabag sa karapatang pantao. Natukoy ng mga mananaliksik sa seguridad ang aktibidad noong Enero 2026 at binigyan ito ng codename na RedKitten.
Talaan ng mga Nilalaman
Kontekstong Pampulitika at Istratehiya sa Pag-target
Ang kampanya ay halos kapareho ng malawakang kaguluhan sa Iran na nagsimula noong huling bahagi ng 2025, na dulot ng matinding implasyon, pagtaas ng presyo ng pagkain, at matinding pagbaba ng halaga ng pera. Ang mga kasunod na paghihigpit ng gobyerno ay naiulat na nagresulta sa malalaking kaswalti at matagal na pagkagambala sa internet. Ang operasyon ay tila idinisenyo upang samantalahin ang kapaligirang ito sa pamamagitan ng pananakit sa mga taong naghahanap ng impormasyon tungkol sa mga nawawala o namatay na nagpoprotesta, na ginagamit ang emosyonal na pagkabalisa upang magdulot ng pagkaapurahan at bawasan ang pag-aalinlangan.
Paunang Vector ng Impeksyon at Pag-unlad na Pinapatakbo ng LLM
Ang kadena ng panghihimasok ay nagsisimula sa isang 7-Zip archive na may dalang pangalan ng file sa wikang Farsi. Sa loob nito ay mga spreadsheet ng Microsoft Excel na naglalaman ng mga malisyosong macro. Ang mga XLSM file na ito ay nagsasabing naglilista ng mga nagpoprotesta na napatay sa Tehran sa pagitan ng Disyembre 22, 2025, at Enero 20, 2026; gayunpaman, ang mga hindi pagkakapare-pareho tulad ng hindi magkatugmang edad at petsa ng kapanganakan ay nagpapahiwatig na ang data ay gawa-gawa lamang. Kapag pinagana ang mga macro, isang dropper na nakabatay sa VBA ang nagde-deploy ng isang C# implant na pinangalanang 'AppVStreamingUX_Multi_User.dll' gamit ang AppDomainManager injection.
Ipinahihiwatig ng pagsusuri ng code na malamang na ginamit ang malalaking modelo ng wika sa pag-develop, batay sa istruktura ng macro, mga kombensiyon sa pagpapangalan, at mga naka-embed na komento na kahawig ng mga awtomatiko o instructional prompt.
Arkitektura at Kakayahan ng SloppyMIO Backdoor
Ang itinanim na backdoor, na sinusubaybayan bilang SloppyMIO, ay lubos na umaasa sa mga lehitimong cloud at collaboration platform. Ginagamit ang GitHub bilang isang dead drop resolver upang makuha ang mga Google Drive URL na nagho-host ng mga imahe na nagtatago ng data ng configuration sa pamamagitan ng steganography. Kasama sa mga nakuha na setting ang mga kredensyal ng Telegram bot, mga chat identifier, at mga link sa mga karagdagang payload.
Sinusuportahan ng SloppyMIO ang maraming functional module na nagbibigay-daan sa pagpapatupad ng command, pagkolekta at pag-exfiltration ng file, pag-deploy ng payload, pagtitiyaga sa mga naka-iskedyul na gawain, at pagpapatupad ng proseso. Maaaring i-download, i-cache, at patakbuhin ng malware ang mga module na ito on demand, na nagbibigay sa mga operator ng malawak na kontrol sa mga nakompromisong system.
Kabilang sa mga sinusuportahang functional module ang:
- Pagpapatupad ng utos sa pamamagitan ng interpreter ng utos ng Windows
- Koleksyon ng file at pag-exfiltration batay sa ZIP na may sukat na naaayon sa mga limitasyon ng Telegram API
Higit pa sa modular payload delivery, pinapanatili ng SloppyMIO ang patuloy na komunikasyon sa mga operator nito gamit ang Telegram Bot API. Sinusuri ng implant beacons system ang status, nagtatanong ng mga instruksyon, at nagpapadala ng nakalap na data sa pamamagitan ng mga Telegram chat, habang sinusuportahan din ang direktang pag-task mula sa isang hiwalay na command-and-control endpoint.
Kabilang sa mga naobserbahang utos ng operator ang:
- Pag-trigger ng pangongolekta at pag-exfiltration ng file
- Pagpapatupad ng mga arbitraryong utos ng shell
- Paglulunsad ng mga tinukoy na aplikasyon o proseso
Atribusyon at mga Makasaysayang Pagkakatulad
Ang pag-uugnay sa mga aktor na kaalyado ng Iran ay batay sa maraming tagapagpahiwatig: mga artifact sa wikang Farsi, mga temang pang-akit na nauugnay sa kaguluhan sa loob ng bansa, at mga taktikal na pagsasanib sa mga naunang kampanya. Kapansin-pansin, may mga pagkakatulad sa mga operasyong iniuugnay sa Tortoiseshell, na dating umabuso sa mga malisyosong Excel file at AppDomainManager injection, pati na rin ang isang kampanya noong 2022 na naka-link sa isang Nemesis Kitten sub-cluster na gumamit ng GitHub upang ipamahagi ang Drokbk backdoor. Ang pagtaas ng paggamit ng AI-assisted tooling ay lalong nagpapahirap sa pagkakaiba-iba ng aktor at kumpiyansa sa pag-uugnay.
Mga Operasyon ng Parallel Phishing at Mas Malawak na Epekto
Hiwalay, isiniwalat ng mga imbestigador ang isang kampanyang phishing na inihatid sa pamamagitan ng WhatsApp na gumagamit ng isang pekeng WhatsApp Web interface na naka-host sa isang DuckDNS domain. Patuloy na sinusuri ng pahina ang isang endpoint na kontrolado ng attacker upang magpakita ng isang live na QR code na naka-link sa sariling WhatsApp Web session ng kalaban. Hindi namamalayan ng mga biktima na nag-i-scan ng code na pinapatunayan ang attacker, na nagbibigay ng buong access sa account. Humihingi rin ang imprastraktura ng phishing ng mga pahintulot sa browser para sa camera, mikropono, at geolocation access, na epektibong nagbibigay-daan sa real-time na pagmamatyag.
Ipinapahiwatig ng mga karagdagang natuklasan ang kaugnay na aktibidad na naglalayong mangolekta ng mga kredensyal ng Gmail, kabilang ang mga password at two-factor authentication code, sa pamamagitan ng mga pekeng login page. Humigit-kumulang 50 indibidwal ang naapektuhan, na kinabibilangan ng mga miyembro ng komunidad ng Kurdish, mga akademiko, mga tauhan ng gobyerno, mga lider ng negosyo, at iba pang mga kilalang tao. Ang mga operator sa likod ng mga pagsisikap na ito sa phishing at ang kanilang mga tiyak na motibasyon ay nananatiling hindi pa nakumpirma.
Operasyonal na Kalakalan at mga Implikasyon sa Depensa
Ang malawakang paggamit ng mga komoditidong plataporma tulad ng GitHub, Google Drive, at Telegram ay humahadlang sa tradisyonal na pagsubaybay batay sa imprastraktura habang sabay na nagpapakilala ng mga maaaring gamiting metadata at mga panganib sa seguridad sa operasyon para sa mga umaatake. Kasabay ng lumalaking pag-aampon ng AI ng mga aktor ng banta, binibigyang-diin ng mga kampanyang tulad ng RedKitten ang pangangailangan para sa mga tagapagtanggol na tumuon sa pagsusuri ng pag-uugali, pagpapatunay ng nilalaman, at kamalayan ng gumagamit sa halip na umasa lamang sa mga tagapagpahiwatig ng imprastraktura.
