Бекдор SloppyMIO
Злочинець, який розмовляє фарсі та, за оцінками, пов'язаний з інтересами іранської держави, підозрюється в організації нової кампанії кібершпигунства, спрямованої проти неурядових організацій та осіб, причетних до документування нещодавніх порушень прав людини. Дослідники з безпеки виявили цю діяльність у січні 2026 року та присвоїли їй кодову назву RedKitten.
Зміст
Політичний контекст та стратегія цільової орієнтації
Кампанія тісно пов'язана з масовими заворушеннями в Ірані, які розпочалися наприкінці 2025 року та були спричинені різкою інфляцією, зростанням цін на продукти харчування та серйозною девальвацією валюти. Повідомляється, що подальші урядові репресії призвели до значних жертв та тривалих перебоїв у роботі інтернету. Операція, схоже, була розроблена для того, щоб використати цю ситуацію, наживаючись на людях, які шукають інформацію про зниклих безвісти або померлих протестувальників, використовуючи емоційний стрес для викликання терміновості та зниження скептицизму.
Початковий вектор інфекції та розробка, керована LLM
Ланцюг вторгнення починається з 7-Zip-архіву з назвою файлу мовою фарсі. Усередині знаходяться електронні таблиці Microsoft Excel, що містять шкідливі макроси. Ці XLSM-файли нібито містять список протестувальників, убитих у Тегерані в період з 22 грудня 2025 року по 20 січня 2026 року; однак невідповідності, такі як невідповідність віку та дат народження, вказують на те, що дані сфабриковані. Коли макроси ввімкнено, дроппер на основі VBA розгортає імплантат C# під назвою «AppVStreamingUX_Multi_User.dll» за допомогою ін'єкції AppDomainManager.
Аналіз коду показує, що в розробці, ймовірно, використовувалися великі мовні моделі, виходячи зі структури макросу, правил іменування та вбудованих коментарів, що нагадують автоматичні або інструкційні підказки.
Архітектура та можливості бекдору SloppyMIO
Імплантований бекдор, який відстежується як SloppyMIO, значною мірою залежить від легітимних хмарних платформ та платформ для співпраці. GitHub використовується як сервер мертвих ресурсів для отримання URL-адрес Google Диска, що містять зображення, що приховують дані конфігурації за допомогою стеганографії. Вилучені налаштування включають облікові дані бота Telegram, ідентифікатори чату та посилання на додаткові корисні навантаження.
SloppyMIO підтримує кілька функціональних модулів, які забезпечують виконання команд, збір та вилучення файлів, розгортання корисного навантаження, збереження даних через заплановані завдання та виконання процесів. Шкідливе програмне забезпечення може завантажувати, кешувати та запускати ці модулі на вимогу, надаючи операторам широкий контроль над скомпрометованими системами.
Підтримувані функціональні модулі включають:
- Виконання команд через інтерпретатор команд Windows
- Збір файлів та їх екстракція на основі ZIP-архіву, розмір яких відповідає обмеженням Telegram API
- Запис файлу в локальний каталог даних програми з використанням корисних навантажень, закодованих у зображеннях
- Створення запланованих завдань для повторюваного виконання
- Ініціювання довільного процесу
- Командування та управління через Telegram
Окрім модульної доставки корисного навантаження, SloppyMIO підтримує безперервний зв'язок зі своїми операторами за допомогою API бота Telegram. Маяки імплантатів відстежують стан системи, запитують інструкції та передають зібрані дані через чати Telegram, а також підтримують пряме завдання з окремої кінцевої точки командування та управління.
Спостережувані команди оператора включають:
- Запуск збору та вилучення файлів
- Виконання довільних команд оболонки
- Запуск певних програм або процесів
Атрибуція та історичні паралелі
Атрибуція пов'язаних з Іраном акторів ґрунтується на кількох показниках: артефакти фарсі, теми приманки, пов'язані з внутрішніми заворушеннями, та тактичне перекриття з попередніми кампаніями. Примітно, що існує подібність з операціями, що приписуються Tortoiseshell, яка раніше зловживала шкідливими файлами Excel та ін'єкціями AppDomainManager, а також з кампанією 2022 року, пов'язаною з підкластером Nemesis Kitten, який використовував GitHub для розповсюдження бекдору Drokbk. Зростаюче використання інструментів на основі штучного інтелекту ще більше ускладнює диференціацію акторів та впевненість у атрибуції.
Паралельні фішингові операції та ширший вплив
Окремо слідчі розкрили фішингову кампанію, що здійснювалася через WhatsApp, в якій використовувався підроблений веб-інтерфейс WhatsApp, розміщений на домені DuckDNS. Сторінка постійно опитує кінцеву точку, контрольовану зловмисником, щоб відобразити QR-код у реальному часі, пов'язаний з власним веб-сеансом WhatsApp зловмисника. Жертви, скануючи код, несвідомо автентифікують зловмисника, надаючи йому повний доступ до облікового запису. Фішингова інфраструктура також запитує дозволи браузера для доступу до камери, мікрофона та геолокації, що фактично дозволяє здійснювати спостереження в режимі реального часу.
Додаткові результати вказують на пов'язану діяльність, спрямовану на вилучення облікових даних Gmail, включаючи паролі та коди двофакторної автентифікації, через підроблені сторінки входу. Постраждало приблизно 50 осіб, серед яких члени курдської громади, науковці, державні службовці, бізнес-лідери та інші відомі особи. Оператори, що стоять за цими фішинговими зусиллями, та їхня точна мотивація залишаються непідтвердженими.
Оперативне ремесло та оборонні наслідки
Широке використання комерціалізованих платформ, таких як GitHub, Google Drive та Telegram, перешкоджає традиційному відстеженню на основі інфраструктури, одночасно створюючи метадані, що підлягають використанню, та ризики операційної безпеки для зловмисників. У поєднанні зі зростаючим використанням штучного інтелекту зловмисниками, кампанії, такі як RedKitten, підкреслюють необхідність для захисників зосередитися на поведінковому аналізі, перевірці контенту та обізнаності користувачів, а не покладатися виключно на показники інфраструктури.
