Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Сајбер-кампања RedKitten поврзана со Иран таргетира НВО за човекови права и активисти

Објавено: 02.02.2026

Се сомнева дека заканувач кој зборува фарси и е усогласен со државните интереси на Иран стои зад нова кампања насочена кон невладини организации и поединци вклучени во документирање на неодамнешни кршења на човековите права.

Активноста, забележана од HarfangLab во јануари 2026 година, е кодно именувана RedKitten. Се наведува дека се совпаѓа со националните немири во Иран што започнаа кон крајот на 2025 година, како протест против наглото зголемување на инфлацијата, растот на цените на храната и девалвацијата на валутата. Последователната репресија резултираше со масовни жртви и прекин на интернетот.

„Малициозниот софтвер се потпира на GitHub и Google Drive за конфигурација и преземање модуларни payload-и, а користи Telegram за командно-контролна комуникација“, соопшти француската компанија за сајбер-безбедност.

Она што ја прави кампањата особено значајна е веројатната употреба на големи јазични модели (LLM) од страна на заканувачот за изградба и оркестрација на потребните алатки. Почетната точка на нападот е 7-Zip архива со име на фарси, која содржи Microsoft Excel документи со вградени макроа.

XLSM табелите тврдат дека содржат информации за демонстранти кои загинале во Техеран помеѓу 22 декември 2025 и 20 јануари 2026 година. Но, во секоја од нив е вградена злонамерна VBA макро-команда која, кога ќе се овозможи, функционира како „dropper“ за имплант базиран на C# („AppVStreamingUX_Multi_User.dll“) преку техника наречена AppDomainManager injection.

Самата VBA макро-команда покажува знаци дека е генерирана од LLM, поради „општиот стил на VBA кодот, имињата на променливите и методите“ што се користат, како и присуството на коментари како „PART 5: Report the result and schedule if successful“.

Нападот најверојатно е насочен кон лица кои бараат информации за исчезнати лица, искористувајќи ја нивната емоционална вознемиреност за да создаде лажно чувство на итност и да го активира синџирот на инфекција. Анализата на податоците во табелите, како несоодветни возрасти и датуми на раѓање, укажува дека тие се фабрикувани.

Задната врата, наречена SloppyMIO, го користи GitHub како „dead drop resolver“ за преземање Google Drive URL-адреси што хостираат слики од кои конфигурацијата се добива стеганографски, вклучително и детали за токенот на Telegram ботот, Telegram chat ID и линкови за поставување различни модули. Поддржани се до пет различни модули:

  • cm – извршување команди преку „cmd.exe“
  • do – собирање датотеки од компромитираниот систем и креирање ZIP архива за секоја датотека што се вклопува во ограничувањата за големина на Telegram API
  • up – запишување датотека во „%LOCALAPPDATA%\Microsoft\CLR_v4.0_32\NativeImages\“, при што податоците се кодирани во слика преземена преку Telegram API
  • pr – креирање закажана задача за перзистентност што извршува извршна датотека на секои два часа
  • ra – стартување процес

Дополнително, малициозниот софтвер може да контактира командно-контролен (C2) сервер за да испраќа „beacon“ пораки кон конфигурираниот Telegram chat ID, да прима дополнителни инструкции и да ги испраќа резултатите назад до операторот:

  • download – го извршува модулот do
  • cmd – го извршува модулот cm
  • runapp – стартува процес

„Малициозниот софтвер може да презема и кешира повеќе модули од далечинско складиште, да извршува произволни команди, да собира и ексфилтрира датотеки и да распоредува дополнителен малициозен софтвер со перзистентност преку закажани задачи“, соопшти HarfangLab. „SloppyMIO испраќа статусни пораки, проверува за команди и ги испраќа ексфилтрираните датотеки користејќи го Telegram Bot API за командно-контролна комуникација.“

Што се однесува до атрибуцијата, врските со ирански актери се базираат на присуството на артефакти на фарси, темите за мамка и тактичките сличности со претходни кампањи, вклучувајќи ја и Tortoiseshell, која користеше злонамерни Excel документи за испорака на IMAPLoader преку AppDomainManager injection.

Изборот на GitHub како „dead drop resolver“ исто така не е без преседан. Кон крајот на 2022 година, Secureworks (сега дел од Sophos) опиша кампања спроведена од под-кластер на иранска државна група позната како Nemesis Kitten, која користела GitHub за испорака на задна врата наречена Drokbk.

Ситуацијата дополнително се комплицира со растечката употреба на алатки за вештачка интелигенција (AI) од страна на противниците, што им отежнува на бранителите да разликуваат еден актер од друг.

„Потпирањето на заканувачот на комерцијализирана инфраструктура (GitHub, Google Drive и Telegram) го отежнува традиционалното следење базирано на инфраструктура, но парадоксално открива корисни метаподатоци и создава други оперативни безбедносни предизвици за самиот заканувач“, соопшти HarfangLab.

Овој развој следува неколку недели по тоа што ирански активист со седиште во Обединетото Кралство и независен истражувач на сајбер-шпионажа, Нариман Гариб, откри детали за фишинг линк („whatsapp-meeting.duckdns[.]org“) што се дистрибуира преку WhatsApp и ги прибира акредитивите на жртвите прикажувајќи лажна страница за најава на WhatsApp Web.

„Страницата го проверува серверот на напаѓачот секоја секунда преку /api/p/{victim_id}/“, објасни Гариб. „Ова му овозможува на напаѓачот да прикаже QR код во живо од сопствената WhatsApp Web сесија директно кај жртвата. Кога целта ќе го скенира кодот со телефонот, мислејќи дека се приклучува на ‘состанок’, таа всушност ја автентицира сесијата на прелистувачот на напаѓачот. Напаѓачот добива целосен пристап до WhatsApp сметката на жртвата.“

Фишинг страницата е дизајнирана и да побара дозволи од прелистувачот за пристап до камерата, микрофонот и геолокацијата на уредот, со што практично се претвора во алатка за надзор што може да снима фотографии, аудио и тековна локација на жртвите. Во моментов не е познато кој стои зад кампањата, ниту која била мотивацијата.

Новинарот на TechCrunch, Зак Витакер, кој откри дополнителни детали, изјави дека активноста е насочена и кон кражба на Gmail акредитиви преку лажна страница за најава што ги собира лозинката и кодот за двофакторска автентикација (2FA). Пронајдено е дека околу 50 лица биле погодени, вклучувајќи обични луѓе од курдската заедница, академици, државни службеници, бизнис-лидери и други високи фигури.

Овие наоди доаѓаат и по големото протекување на податоци што го претрпе иранската хакерска група Charming Kitten, со што беа разоткриени нејзините внатрешни процеси, организациската структура и клучниот персонал. Протекувањата исто така фрлија светлина врз платформа за надзор наречена Kashef (позната и како Discoverer или Revealer), која се користи за следење на ирански граѓани и странски државјани преку агрегирање податоци собрани од различни оддели поврзани со Исламската револуционерна гарда (IRGC).

Во октомври 2025 година, Гариб објави и база на податоци со 1.051 лице што се запишале на различни програми за обука понудени од Ravin Academy, школа за сајбер-безбедност основана во 2019 година од двајца оперативци на иранското Министерство за разузнавање и безбедност (MOIS) — Сајед Мојтаба Мостафави и Фарзин Карими. Оваа организација беше санкционирана од Министерството за финансии на САД во октомври 2022 година за поддршка и овозможување на операциите на MOIS.

Ова вклучува помош на MOIS со обуки за информатичка безбедност, лов на закани, сајбер-безбедност, red teaming, дигитална форензика, анализа на малициозен софтвер, безбедносни ревизии, пенетрациско тестирање, одбрана на мрежи, одговор на инциденти, анализа на ранливости, мобилно пенетрациско тестирање, реверзно инженерство и безбедносни истражувања.

Во објава споделена на својот Telegram канал на 22 октомври 2025 година, Ravin Academy го потврди пробивот, наведувајќи дека еден од нивните онлајн системи, хостиран надвор од нивната мрежа, бил цел на сајбер-напад што довел до протекување на кориснички имиња и телефонски броеви на дел од учесниците во обуките. Тие тврдеа дека нападот имал за цел да ја наруши нивната репутација и дека значителен дел од протечените информации се невалидни.

„Овој модел му овозможува на MOIS да го аутсорсира почетното регрутирање и проверка, додека ја задржува оперативната контрола преку директната врска на основачите со разузнавачката служба“, изјави Гариб. „Оваа структура со двојна намена му овозможува на MOIS да развива човечки капитал за сајбер-операции, додека одржува слој на оддалеченост од директна државна атрибуција.“

Извори:

  • The Hacker News – Iran-Linked RedKitten Cyber Campaign Targets Human Rights NGOs and Activists The Hacker News