Французская компания HarfangLab обнаружила новую кампанию кибершпионажа, нацеленную на неправительственные организации и активистов, которые документируют нарушения прав человека в Иране. Исследователи связывают активность с фарсиязычной группировкой, действующей в интересах иранского государства, и присвоили ей кодовое имя RedKitten.
Слежку зафиксировали в январе 2026 года — она совпала по времени с массовыми протестами в Иране, начавшимися в конце 2025 года из-за роста инфляции, подорожания продуктов и обвала национальной валюты. Подавление протестов сопровождалось многочисленными жертвами и отключением интернета в стране.
Как работает атака
Точка входа — архив 7-Zip с именем файла на фарси, внутри которого лежат документы Excel с макросами (формат XLSM). Таблицы выдают себя за списки протестующих, погибших в Тегеране в период с 22 декабря 2025 года по 20 января 2026 года — расчёт на то, что жертвами станут в первую очередь люди, разыскивающие пропавших без вести и испытывающие сильный эмоциональный стресс. По данным HarfangLab, возраст и даты рождения в таблицах не сходятся друг с другом, что указывает на фабрикацию данных.
При включении макросов VBA-скрипт разворачивает имплант на C# — библиотеку «AppVStreamingUX_Multi_User.dll» — с помощью техники AppDomainManager injection. Сам код макроса, по оценке исследователей, похоже, был сгенерирован языковой моделью: на это указывают стиль кода, характерные имена переменных и методов, а также комментарии вроде «PART 5: Report the result and schedule if successful» («Часть 5: сообщить результат и запланировать задачу в случае успеха»).
Бэкдор SloppyMIO и его модули
Установленный бэкдор получил имя SloppyMIO. Он использует GitHub как «мёртвый почтовый ящик» (dead drop resolver) для получения ссылок на Google Drive, где хранятся изображения — из них методом стеганографии извлекается конфигурация: токен Telegram-бота, ID чата и адреса дополнительных модулей. Управление и вывод данных полностью построены на Telegram Bot API.
Бэкдор поддерживает пять модулей:
- cm — выполнение команд через cmd.exe;
- do — сбор файлов с заражённого хоста и упаковка каждого в ZIP-архив, размер которого не превышает лимиты Telegram API;
- up — запись файла в каталог
%LOCALAPPDATA%\Microsoft\CLR_v4.0_32\NativeImages\, при этом данные файла закодированы в изображении, полученном через Telegram API; - pr — создание задачи в планировщике для закрепления в системе с запуском исполняемого файла каждые два часа;
- ra — запуск произвольного процесса.
Кроме того, вредонос принимает от оператора через Telegram команды download (запускает модуль do), cmd (запускает модуль cm) и runapp (запуск процесса). «Вредонос умеет получать и кэшировать несколько модулей из удалённого хранилища, выполнять произвольные команды, собирать и выгружать файлы, а также разворачивать дополнительные модули с закреплением через задачи планировщика», — говорится в отчёте HarfangLab.
Кто стоит за атакой
Атрибуцию к иранским структурам HarfangLab строит на присутствии фарси-артефактов, тематике приманок и тактическом сходстве с прежними кампаниями — в частности, с группировкой Tortoiseshell, которая ранее рассылала вредоносные Excel-документы для доставки загрузчика IMAPLoader тоже через AppDomainManager injection. Использование GitHub в качестве dead drop resolver тоже не новость: в конце 2022 года компания Secureworks (сейчас часть Sophos) описывала похожую схему у подкластера иранской группы Nemesis Kitten, который таким же способом доставлял бэкдор Drokbk.
В HarfangLab отмечают и обратную сторону такого подхода: «Опора злоумышленника на общедоступную инфраструктуру — GitHub, Google Drive и Telegram — затрудняет отслеживание по традиционным инфраструктурным признакам, но парадоксальным образом раскрывает полезные метаданные и создаёт для атакующего дополнительные проблемы с операционной безопасностью». Растущее использование ИИ-инструментов злоумышленниками всё сильнее мешает защитникам отличать одну группировку от другой.
Параллельная кампания: фишинг через WhatsApp и Gmail
За пару недель до публикации отчёта о RedKitten независимый исследователь кибершпионажа и иранский активист из Великобритании Нариман Гариб раскрыл детали другой фишинговой кампании — со ссылкой whatsapp-meeting.duckdns.org, которая распространялась через WhatsApp и показывала жертвам поддельную страницу входа в WhatsApp Web.
По словам Гариба, страница опрашивает сервер атакующего каждую секунду через путь /api/p/{victim_id}/. «Это позволяет атакующему транслировать жертве живой QR-код из собственной сессии WhatsApp Web. Когда цель сканирует его телефоном, думая, что присоединяется к "встрече", на самом деле она авторизует браузерную сессию атакующего. Атакующий получает полный доступ к аккаунту WhatsApp жертвы», — пояснил он.
Фишинговая страница также запрашивает у браузера доступ к камере, микрофону и геолокации, превращаясь фактически в инструмент слежки, способный получать фотографии, аудио и текущее местоположение жертвы. Кто стоит за кампанией и какова её мотивация, пока не установлено.
Журналист TechCrunch Зак Уиттакер, изучивший активность подробнее, обнаружил, что она нацелена ещё и на кражу учётных данных Gmail — через поддельную страницу входа, собирающую пароль и код двухфакторной аутентификации. Пострадавшими оказались около 50 человек: обычные представители курдской общины, учёные, госслужащие, бизнесмены и другие заметные фигуры.
Утечка Charming Kitten и база Ravin Academy
Находки появились вскоре после крупной утечки данных другой иранской хакерской группы — Charming Kitten, раскрывшей внутреннее устройство, оргструктуру и ключевых участников группировки. Среди прочего утечка пролила свет на платформу слежки Kashef (также известную как Discoverer или Revealer), которая используется для отслеживания иранских граждан и иностранцев путём агрегации данных из разных подразделений, связанных с Корпусом стражей исламской революции (КСИР).
Ещё в октябре 2025 года тот же Гариб опубликовал базу данных с 1051 именем — это люди, проходившие обучение в Ravin Academy, кибербезопасной «школе», основанной в 2019 году двумя оперативниками иранского Министерства разведки и безопасности (MOIS) — Сейедом Моджтабой Мостафави и Фарзином Каримом. В октябре 2022 года Минфин США внёс Ravin Academy в санкционный список за содействие и обеспечение операций MOIS.
По данным расследования, академия помогала MOIS с обучением по информационной безопасности, threat hunting, red teaming, цифровой криминалистикой, анализом вредоносного ПО, аудитом безопасности, тестированием на проникновение, защитой сетей, реагированием на инциденты, анализом уязвимостей, мобильным пентестом, реверс-инжинирингом и общими исследованиями в области безопасности.
22 октября 2025 года в своём Telegram-канале Ravin Academy подтвердила факт взлома, заявив, что атаке подверглась одна из её онлайн-систем, размещённая за пределами собственной сети, — из-за этого произошла утечка имён пользователей и номеров телефонов части участников обучения. При этом в академии заявили, что атака была направлена на подрыв её репутации, а значительная часть опубликованных данных недостоверна.
«Такая модель позволяет MOIS передавать первичный набор и проверку кандидатов на аутсорсинг, сохраняя оперативный контроль благодаря прямой связи основателей с разведслужбой. Эта двойная структура даёт MOIS возможность растить кадры для киберопераций, сохраняя при этом слой отделения от прямой привязки к государству», — отметил Гариб.
Источник: The Hacker News.