SloppyMIO Backdoor

Một nhóm tin tặc nói tiếng Farsi, được đánh giá là có liên kết với các lợi ích của nhà nước Iran, bị nghi ngờ đang dàn dựng một chiến dịch gián điệp mạng mới nhắm vào các tổ chức phi chính phủ và các cá nhân tham gia ghi nhận các vi phạm nhân quyền gần đây. Các nhà nghiên cứu an ninh đã xác định hoạt động này vào tháng 1 năm 2026 và đặt cho nó mật danh RedKitten.

Bối cảnh chính trị và chiến lược nhắm mục tiêu

Chiến dịch này trùng khớp với tình trạng bất ổn lan rộng ở Iran bắt đầu từ cuối năm 2025, do lạm phát cao, giá lương thực leo thang và tiền tệ mất giá nghiêm trọng. Các cuộc đàn áp của chính phủ sau đó được cho là đã gây ra thương vong đáng kể và gián đoạn internet kéo dài. Chiến dịch này dường như được thiết kế để khai thác môi trường đó bằng cách nhắm vào những người đang tìm kiếm thông tin về những người biểu tình mất tích hoặc đã chết, lợi dụng sự đau khổ về mặt cảm xúc để tạo ra sự cấp bách và làm giảm sự hoài nghi.

Vector lây nhiễm ban đầu và sự phát triển do LLM điều khiển

Chuỗi xâm nhập bắt đầu bằng một tệp lưu trữ 7-Zip có tên tệp bằng tiếng Ba Tư. Bên trong là các bảng tính Microsoft Excel chứa các macro độc hại. Các tệp XLSM này được cho là liệt kê những người biểu tình thiệt mạng ở Tehran trong khoảng thời gian từ ngày 22 tháng 12 năm 2025 đến ngày 20 tháng 1 năm 2026; tuy nhiên, những điểm không nhất quán như tuổi và ngày sinh không khớp cho thấy dữ liệu đã bị làm giả. Khi các macro được kích hoạt, một phần mềm thả mã độc dựa trên VBA sẽ triển khai một mã độc C# có tên 'AppVStreamingUX_Multi_User.dll' bằng cách sử dụng phương pháp tiêm AppDomainManager.

Phân tích mã nguồn cho thấy các mô hình ngôn ngữ lớn có thể đã được sử dụng trong quá trình phát triển, dựa trên cấu trúc của macro, quy ước đặt tên và các bình luận nhúng giống như các lời nhắc tự động hoặc hướng dẫn.

Kiến trúc và khả năng của cửa hậu SloppyMIO

Phần mềm độc hại được cài đặt, mang tên SloppyMIO, dựa rất nhiều vào các nền tảng điện toán đám mây và cộng tác hợp pháp. GitHub được sử dụng như một công cụ giải quyết điểm trung chuyển để lấy các URL của Google Drive chứa hình ảnh che giấu dữ liệu cấu hình thông qua kỹ thuật giấu tin. Các thiết lập được trích xuất bao gồm thông tin đăng nhập bot Telegram, mã định danh cuộc trò chuyện và các liên kết đến các phần mềm độc hại khác.

SloppyMIO hỗ trợ nhiều mô-đun chức năng cho phép thực thi lệnh, thu thập và đánh cắp tập tin, triển khai phần mềm độc hại, duy trì hoạt động thông qua các tác vụ theo lịch trình và thực thi quy trình. Phần mềm độc hại có thể tải xuống, lưu vào bộ nhớ đệm và chạy các mô-đun này theo yêu cầu, mang lại cho người điều hành quyền kiểm soát rộng rãi đối với các hệ thống bị xâm nhập.

Các mô-đun chức năng được hỗ trợ bao gồm:

• Thực thi lệnh thông qua trình thông dịch lệnh Windows
• Thu thập tập tin và trích xuất dữ liệu dựa trên tệp ZIP với kích thước phù hợp với giới hạn API của Telegram.
• Ghi tệp vào thư mục dữ liệu ứng dụng cục bộ bằng cách sử dụng dữ liệu tải trọng được mã hóa hình ảnh.

• Tạo tác vụ theo lịch trình để thực thi định kỳ

• Khởi tạo quy trình tùy ý

• Chỉ huy và kiểm soát thông qua Telegram

Ngoài việc cung cấp tải trọng theo mô-đun, SloppyMIO duy trì liên lạc liên tục với người vận hành bằng API Telegram Bot. Thiết bị cấy ghép này phát tín hiệu trạng thái hệ thống, thăm dò ý kiến và truyền dữ liệu thu thập được qua các cuộc trò chuyện Telegram, đồng thời hỗ trợ việc ra lệnh trực tiếp từ một điểm cuối điều khiển riêng biệt.

Các lệnh điều khiển được quan sát bao gồm:

• Kích hoạt quá trình thu thập và trích xuất tập tin.
• Thực thi các lệnh shell tùy ý
• Khởi chạy các ứng dụng hoặc quy trình được chỉ định

Nguồn gốc và những điểm tương đồng lịch sử

Việc quy kết cho các nhóm tin tặc liên kết với Iran dựa trên nhiều dấu hiệu: các bằng chứng bằng tiếng Farsi, các chủ đề mồi nhử liên quan đến bất ổn trong nước và sự trùng lặp về chiến thuật với các chiến dịch trước đó. Đáng chú ý, có những điểm tương đồng với các hoạt động được cho là của Tortoiseshell, nhóm này trước đây đã lạm dụng các tệp Excel độc hại và kỹ thuật tiêm mã độc AppDomainManager, cũng như một chiến dịch năm 2022 liên quan đến một nhóm con của Nemesis Kitten sử dụng GitHub để phân phối phần mềm độc hại Drokbk. Việc sử dụng ngày càng nhiều các công cụ hỗ trợ bởi trí tuệ nhân tạo càng làm phức tạp thêm việc phân biệt các tác nhân và độ tin cậy của việc quy kết.

Các hoạt động tấn công lừa đảo song song và tác động rộng hơn

Ngoài ra, các nhà điều tra đã tiết lộ một chiến dịch lừa đảo qua WhatsApp sử dụng giao diện WhatsApp Web giả mạo được lưu trữ trên tên miền DuckDNS. Trang web này liên tục truy vấn một điểm cuối do kẻ tấn công kiểm soát để hiển thị mã QR trực tiếp liên kết đến phiên WhatsApp Web của chính kẻ thù. Nạn nhân quét mã mà không hề hay biết đã xác thực kẻ tấn công, cấp quyền truy cập đầy đủ vào tài khoản. Hệ thống lừa đảo này cũng yêu cầu quyền truy cập trình duyệt vào camera, micro và vị trí địa lý, cho phép giám sát thời gian thực.

Các phát hiện bổ sung cho thấy hoạt động liên quan nhằm mục đích đánh cắp thông tin đăng nhập Gmail, bao gồm mật khẩu và mã xác thực hai yếu tố, thông qua các trang đăng nhập giả mạo. Khoảng 50 cá nhân đã bị ảnh hưởng, bao gồm các thành viên cộng đồng người Kurd, giới học thuật, nhân viên chính phủ, lãnh đạo doanh nghiệp và các nhân vật nổi tiếng khác. Danh tính của những kẻ đứng sau các vụ lừa đảo này và động cơ chính xác của chúng vẫn chưa được xác nhận.

Kỹ thuật tác chiến và ý nghĩa phòng thủ

Việc sử dụng rộng rãi các nền tảng phổ biến như GitHub, Google Drive và Telegram cản trở việc theo dõi dựa trên cơ sở hạ tầng truyền thống, đồng thời tạo ra các lỗ hổng bảo mật về siêu dữ liệu và hoạt động cho kẻ tấn công. Kết hợp với việc các tác nhân đe dọa ngày càng sử dụng trí tuệ nhân tạo (AI), các chiến dịch như RedKitten nhấn mạnh sự cần thiết của việc các nhà bảo vệ phải tập trung vào phân tích hành vi, xác thực nội dung và nhận thức của người dùng thay vì chỉ dựa vào các chỉ số cơ sở hạ tầng.