SloppyMIO 後門
一名使用波斯語的威脅行為者被評估為與伊朗國家利益相關,他涉嫌策劃了一場新的網路間諜活動,目標是參與記錄近期侵犯人權行為的非政府組織和個人。安全研究人員於2026年1月發現了這項活動,並將其命名為「紅貓」(RedKitten)。
目錄
政治背景和目標策略
這場運動與伊朗自2025年末開始的大規模動亂高度重合,這場動亂的根源在於嚴重的通貨膨脹、不斷上漲的食品價格以及貨幣大幅貶值。據報道,隨後政府的鎮壓行動造成了重大人員傷亡和長時間的網路中斷。這項行動似乎旨在利用這種環境,透過誘使人們尋找失蹤或死亡的抗議者的訊息,利用人們的情緒焦慮來製造緊迫感,降低他們的懷疑態度。
初始感染媒介和LLM驅動的發展
入侵鏈始於一個檔案名稱使用波斯語的 7-Zip 壓縮包。壓縮包內包含帶有惡意巨集的 Microsoft Excel 電子表格。這些 XLSM 文件聲稱列出了 2025 年 12 月 22 日至 2026 年 1 月 20 日期間在德黑蘭被殺害的抗議者名單;然而,諸如年齡和出生日期不符等不一致之處表明這些數據是偽造的。啟用巨集後,一個基於 VBA 的投放器會使用 AppDomainManager 注入部署一個名為「AppVStreamingUX_Multi_User.dll」的 C# 植入程式。
程式碼分析表明,根據巨集的結構、命名約定和類似於自動或指導性提示的嵌入式註釋,開發過程中很可能使用了大型語言模型。
SloppyMIO 後門架構與功能
植入的後門程式名為 SloppyMIO,它嚴重依賴合法的雲端平台和協作平台。 GitHub 被用作死信箱解析器,用於獲取託管圖片的 Google 雲端硬碟 URL,這些圖片透過隱寫術隱藏了配置資料。提取的設定包括 Telegram 機器人憑證、聊天識別碼以及指向其他有效載荷的連結。
SloppyMIO 支援多個功能模組,可實現命令執行、檔案收集和竊取、有效載荷部署、透過排程任務實現持久化以及進程執行。該惡意軟體可以按需下載、快取和運行這些模組,從而使操作者能夠對受感染的系統進行廣泛的控制。
支援的功能模組包括:
- 透過 Windows 命令解釋器執行命令
- 文件收集和基於 ZIP 的檔案外洩規模符合 Telegram API 的限制
除了模組化有效載荷交付之外,SloppyMIO 還使用 Telegram Bot API 與其操作員保持持續通訊。植入式信標會監控系統狀態、輪詢指令並透過 Telegram 聊天傳輸收集到的數據,同時也支援從獨立的命令控制端點直接下達任務。
觀察到的操作指令包括:
- 觸發文件收集和洩露
- 執行任意 shell 命令
- 啟動指定的應用程式或進程
歸屬與歷史相似性
這次攻擊歸因於與伊朗結盟的攻擊者主要依據多項指標:波斯語痕跡、與國內動盪相關的誘餌主題,以及與早期攻擊活動的策略重疊。值得注意的是,這次攻擊與 Tortoiseshell 的行動有相似之處,Tortoiseshell 先前曾濫用惡意 Excel 檔案和 AppDomainManager 注入;此外,這次攻擊也與 2022 年 Nemesis Kitten 子叢集的一次攻擊活動相似,該活動利用 GitHub 分發 Drokbk 後門。人工智慧輔助工具的日益普及進一步增加了區分攻擊者和確定攻擊歸屬的困難。
並行網路釣魚行動及其更廣泛的影響
此外,調查人員還揭露了一起透過 WhatsApp 發起的網路釣魚活動,該活動使用託管在 DuckDNS 網域上的偽造 WhatsApp Web 介面。該頁面持續輪詢攻擊者控制的終端,以顯示一個連結到攻擊者本身 WhatsApp Web 會話的即時二維碼。受害者掃描該二維碼後,會在不知情的情況下驗證攻擊者的身份,從而授予其完全的帳戶存取權限。此釣魚基礎設施還會試圖取得瀏覽器的攝影機、麥克風和地理位置存取權限,從而有效地實現即時監控。
其他調查結果顯示,還有人透過偽造的登入頁面竊取Gmail帳號訊息,包括密碼和雙重認證碼。約有50人受到影響,其中包括庫德族社群成員、學者、政府官員、商界領袖和其他知名人士。這些網路釣魚活動的幕後操縱者及其確切動機尚待確認。
作戰技巧與防禦意義
GitHub、Google Drive 和 Telegram 等通用平台的廣泛使用,不僅阻礙了傳統的基於基礎設施的追蹤手段,同時也為攻擊者帶來了可利用的元資料和營運安全風險。加之威脅行為者對人工智慧的日益重視,像 RedKitten 這樣的攻擊活動凸顯了防禦者需要將重點放在行為分析、內容驗證和使用者意識上,而不是僅僅依賴基礎設施指標。
