Аналитики кибербезопасности обнаружили новую целевую кампанию под кодовым названием RedKitten, направленную против иранских неправительственных организаций и активистов. Злоумышленники используют шоковый контент, связанный с недавними протестами в Иране, и активно применяют инструменты искусственного интеллекта для разработки вредоносного программного обеспечения. Кампания впервые была замечена в начале января 2026 года.
Описание
Ключевым элементом атаки являются сфальсифицированные документы Excel. Они маскируются под конфиденциальные списки жертв протестов «Дей 1404» (Dey 1404), охвативших Иран в конце декабря 2025 года. Файлы, например с названием «Файлы судебно-медицинской экспертизы Тегерана», содержат графические подробности о погибших, включая предполагаемые данные о личности, вскрытии и вовлеченных силовых структурах. Эксперты отмечают многочисленные несоответствия в данных, указывающие на их искусственное происхождение. Целью такой «шоковой приманки» является привлечение внимания лиц, расследующих нарушения прав человека.
При открытии файла и разрешении макросов запускается цепочка заражения. Вредоносный код VBA, вероятно частично созданный с помощью больших языковых моделей (LLM), извлекает и компилирует имплант на C#, названный SloppyMIO. Для обеспечения устойчивости (persistence) на системе имплант использует технику внедрения через AppDomainManager, подменяя легитимный процесс AppVStreamingUX.exe.
Вредоносная программа отличается модульной архитектурой. Конфигурация, включая токен бота Telegram и ссылки на модули, скрыта в изображениях с котиками с помощью стеганографии (метод LSB). SloppyMIO извлекает эти данные, используя GitHub в качестве «мертвой капсулы» (Dead Drop Resolver). Модули загружаются с Google Drive и предоставляют злоумышленникам возможности для выполнения команд, сбора и кражи файлов, а также развертывания дополнительного вредоносного ПО.
Управление осуществляется через Telegram Bot API. Имплант отправляет сообщения о заражении системы и опрашивает сервер для получения команд. Операторы могут отдавать указания напрямую в чате. Инфраструктура кампании полностью построена на легитимных публичных сервисах: GitHub, Google Drive и Telegram. Такой подход усложняет отслеживание, но оставляет цифровые следы.
Анализ времени коммитов в репозитории разработчика и загрузки файлов указывает на работу в часовом поясе GMT. Лингвистические артефакты, такие как комментарии в коде на фарси и настройка аккаунта Telegram на этом языке, прямо указывают на связь с ираноязычной средой. Кроме того, тактика, техники и процедуры (TTPs) перекликаются с методами известной иранской группировки, связанной с КСИР, - Imperial Kitten (также известной как Yellow Liderc).
Тем не менее, точная атрибуция затруднена. Растущее использование ИИ различными иранскими APT-группами (Advanced Persistent Threat) стирает уникальные черты. Аналитики с средней степенью уверенности утверждают, что кампания RedKitten проводится угрозоносным субъектом, деятельность которого соответствует интересам иранского государства. Её цель - слежка за организациями, документирующими протесты и последующие репрессии.
Кампания наглядно демонстрирует тренд на использование ИИ для ускорения разработки кибероружия. Однако код содержит следы небрежной интеграции и шаблонные комментарии, сгенерированные ИИ, что выдает отсутствие глубокой экспертизы у создателей. Например, один из комментариев гласит: «СУПЕР-НАДЕЖНЫЙ И СКРЫТНЫЙ VBSCRIPT-СТЕЙДЖЕР (Финальная производственная версия)». Это указывает на то, что технологии искусственного интеллекта пока не могут компенсировать недостаток операционной безопасности и мастерства разработчиков.
Индикаторы компрометации
SHA256
- 16164c83ce4786ab85aa3fc9566a317519e866ff6cad3fbd647f3e955b8a8255
- 36413af1a7c7dc9e49fdf465ebc5abc3b4bb6b33f1c5ccaa17ae5e0794b6faaa
- 59ee007fd17280470724eb8a11ab12a98e85fd2383af3065f5f09a7e1a73f88c
- 6d474cf5aeb58a60f2f7c4d47143cc5a11a5c7f17a6b43263723d337231c3d60
- 6e1bb2c41500ee18bd55a2de04bb3d74bd5c5e8c45eaeef030c7c6ea661cc2db
- 90aebc9849b659515fd70dde6db717ad457ab2a90522a410d1fd531ca8640624
- 96ee9d3ed80c59c4bf39ed630efbfa53591fbe51155db7919ef64535a6171044
- ac0e045b6f3683315ef420971f382e167385e39023d118d023fa6989e35fadf6
- c40c94d787f6a35ac1cb4c5f031cf5777b77c79dc3929181badea33aaf177aa7
- d3bb28307d11214867c570fe594f773ba90195ed22b834bad038b62bf75a4192
- d58e3617d759d46248718ac4dfb46535d73febffd17fad1fd8ab47ce08da2fb4
- e5c4295c5c57d80c875860b44f4c33ee921393bb8ce14c7be0f5ef47d7171265
YARA
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 | rule trr260101_sloppymio { meta: description = "Detects SloppyMIO, a C# implant leveraged by an Iranian threat actor in January 2026." references = "TRR260101" hash = "6d474cf5aeb58a60f2f7c4d47143cc5a11a5c7f17a6b43263723d337231c3d60" date = "2026-01-28" author = "HarfangLab" context = "file" strings: $s1 = "AppVStreamingUXMainOff" fullword $s2 = "Process exiting. Restart if allowed." wide fullword $s3 = "[ errors in module '" wide fullword $s4 = "[Error] Method '' not found in module '" wide fullword $s5 = "href=[\"'](.*?/raw/.*?/" wide $s6 = "FREE|" wide fullword $s7 = "USED|" wide fullword $s8 = "GET FAILED:" wide fullword $s9 = "PATCH FAILED: " wide fullword $s10 = "FILE NOT FOUND IN GIST" wide fullword $s11 = "CONTENT FIELD NOT FOUND" wide fullword $m1 = "StegoLsb" fullword $m2 = "CachedModule" fullword $m3 = "SystemEvents_SessionEnding" fullword $m4 = "ExecuteCoreLogic" fullword $m5 = "BuildInputParams" fullword $m6 = "SendAsFileFromMemory" fullword $m7 = "SendReplyInParts" fullword $m8 = "ExecuteLib" fullword $m9 = "ExecuteDirectModule" fullword $m10 = "ExecuteModule" fullword $m11 = "DownloadModuleCode" fullword $m12 = "CompileDirectModuleCode" fullword $m13 = "CompileModuleCode" fullword $m14 = "GistRawLink" fullword $m15 = "GetRemoteConfig" fullword $m16 = "GetGistJson" fullword $m17 = "UpdateGist" fullword condition: filesize < 100KB and uint16be(0) == 0x4D5A and (6 of ($s*) or (all of ($m*))) } |
