Một tác nhân đe dọa nói tiếng Farsi có liên kết với các lợi ích của nhà nước Iran bị nghi ngờ đứng sau một chiến dịch mới nhắm vào các tổ chức phi chính phủ (NGO) và các cá nhân tham gia ghi nhận các vụ lạm dụng nhân quyền gần đây.
Hoạt động này, được HarfangLab quan sát vào tháng 1 năm 2026, đã được đặt tên mã là RedKitten. Nó được cho là trùng hợp với tình trạng bất ổn trên toàn quốc ở Iran bắt đầu vào cuối năm 2025, nhằm phản đối lạm phát tăng vọt, giá lương thực tăng cao và đồng tiền mất giá. Cuộc đàn áp sau đó đã dẫn đến thương vong lớn và sự cố mất mạng Internet.
"Phần mềm độc hại dựa vào GitHub và Google Drive để cấu hình và truy xuất các payload mô-đun, đồng thời sử dụng Telegram cho command-and-control," công ty an ninh mạng Pháp cho biết.
Điều làm cho chiến dịch này đáng chú ý là khả năng tác nhân đe dọa dựa vào các large language models (LLMs) để xây dựng và điều phối các công cụ cần thiết. Điểm khởi đầu của cuộc tấn công là một tệp lưu trữ 7-Zip với tên tệp tiếng Farsi chứa các tài liệu Microsoft Excel có macro.
Các bảng tính XLSM tuyên bố bao gồm chi tiết về những người biểu tình đã chết ở Tehran từ ngày 22 tháng 12 năm 2025 đến ngày 20 tháng 1 năm 2026. Nhưng được nhúng trong mỗi bảng tính là một macro VBA độc hại, khi được kích hoạt, nó hoạt động như một dropper cho một implant dựa trên C# ("AppVStreamingUX_Multi_User.dll") thông qua một kỹ thuật gọi là AppDomainManager injection.
Macro VBA, về phần mình, cho thấy dấu hiệu được tạo ra bởi một LLM do "phong cách tổng thể của VBA code, tên biến và phương thức" được sử dụng, cũng như sự hiện diện của các comment như "PART 5: Report the result and schedule if successful."
Cuộc tấn công có khả năng là một nỗ lực nhắm mục tiêu vào các cá nhân đang tìm kiếm thông tin về những người mất tích, khai thác sự đau khổ về cảm xúc của họ để gây ra cảm giác cấp bách giả tạo và kích hoạt chuỗi lây nhiễm. Phân tích dữ liệu bảng tính, chẳng hạn như tuổi và ngày sinh không khớp, cho thấy nó là giả mạo.
Backdoor SloppyMIO và Hoạt động Command-and-Control
Backdoor, được đặt tên là SloppyMIO, sử dụng GitHub làm dead drop resolver để truy xuất các URL của Google Drive lưu trữ hình ảnh mà từ đó cấu hình của nó được lấy theo kỹ thuật steganography, bao gồm chi tiết về Telegram bot token, Telegram chat ID và các liên kết dàn dựng nhiều mô-đun khác nhau. Có tới năm mô-đun khác nhau được hỗ trợ:
- cm, để thực thi các lệnh sử dụng "cmd.exe"
- do, để thu thập các tệp trên máy chủ bị xâm nhập và tạo một tệp lưu trữ ZIP cho mỗi tệp nằm trong giới hạn kích thước tệp API Telegram
- up, để ghi một tệp vào "%LOCALAPPDATA%\Microsoft\CLR_v4.0_32\NativeImages\," với dữ liệu tệp được mã hóa trong một hình ảnh được tìm nạp qua API Telegram
- pr, để tạo một scheduled task nhằm duy trì sự tồn tại (persistence) để chạy một executable mỗi hai giờ
- ra, để khởi động một process
Ngoài ra, phần mềm độc hại có khả năng liên hệ với máy chủ command-and-control (C2) để gửi beacon đến Telegram chat ID được cấu hình, nhận thêm hướng dẫn và gửi kết quả trở lại cho operator:
- download, chạy mô-đun do
- cmd, chạy mô-đun cm
- runapp, để khởi chạy một process
"Phần mềm độc hại có thể tìm nạp và lưu vào bộ nhớ cache nhiều mô-đun từ bộ nhớ từ xa, chạy các lệnh tùy ý, thu thập và exfiltrate các tệp và triển khai phần mềm độc hại bổ sung với persistence thông qua scheduled tasks," HarfangLab cho biết. "SloppyMIO gửi các thông báo trạng thái beacon, thăm dò lệnh và gửi các tệp exfiltrated cho một operator được chỉ định bằng cách tận dụng Telegram Bot API cho command-and-control."
Gán ghép và Các Chiến dịch Tương tự
Về việc gán ghép, các liên kết với các tác nhân Iran dựa trên sự hiện diện của các artifact tiếng Farsi, các chủ đề mồi nhử và sự tương đồng về chiến thuật với các chiến dịch trước đây, bao gồm cả chiến dịch của Tortoiseshell, nhóm đã lợi dụng các tài liệu Excel độc hại để phân phối IMAPLoader bằng cách sử dụng AppDomainManager injection.
Việc những kẻ tấn công chọn GitHub làm dead drop resolver cũng không phải là không có tiền lệ. Cuối năm 2022, Secureworks (hiện là một phần của Sophos) đã chi tiết một chiến dịch được thực hiện bởi một tiểu nhóm của một nhóm nhà nước-quốc gia Iran được gọi là Nemesis Kitten đã sử dụng GitHub làm cầu nối để phân phối một backdoor có tên là Drokbk.
Phức tạp hóa vấn đề hơn nữa là sự chấp nhận ngày càng tăng của các công cụ artificial intelligence (AI) bởi các đối thủ, khiến các nhà phòng thủ khó phân biệt tác nhân này với tác nhân khác.
"Việc tác nhân đe dọa dựa vào infrastructure thương mại hóa (GitHub, Google Drive và Telegram) gây cản trở việc theo dõi dựa trên infrastructure truyền thống nhưng nghịch lý thay lại bộc lộ các metadata hữu ích và đặt ra các thách thức an ninh vận hành khác cho tác nhân đe dọa," HarfangLab cho biết.
Các Phát Hiện Liên Quan Khác
Sự phát triển này diễn ra vài tuần sau khi Nariman Gharib, một nhà hoạt động Iran và nhà điều tra gián điệp mạng độc lập có trụ sở tại Vương quốc Anh, tiết lộ chi tiết về một phishing link ("whatsapp-meeting.duckdns[.]org") được phân phối qua WhatsApp và chiếm đoạt thông tin đăng nhập của nạn nhân bằng cách hiển thị một trang đăng nhập WhatsApp Web giả mạo.
"Trang này thăm dò máy chủ của kẻ tấn công mỗi giây qua /api/p/{victim_id}/," Gharib giải thích. "Điều này cho phép kẻ tấn công cung cấp một mã QR trực tiếp từ phiên WhatsApp Web của chính họ cho nạn nhân. Khi mục tiêu quét nó bằng điện thoại của họ, nghĩ rằng họ đang tham gia một 'cuộc họp,' họ thực sự đang xác thực phiên trình duyệt của kẻ tấn công. Kẻ tấn công có toàn quyền truy cập vào tài khoản WhatsApp của nạn nhân."
Trang phishing cũng được thiết kế để yêu cầu quyền truy cập trình duyệt vào camera, microphone và geolocation của thiết bị, biến nó thành một bộ công cụ giám sát có thể chụp ảnh, âm thanh và vị trí hiện tại của nạn nhân. Hiện tại vẫn chưa rõ ai đứng sau chiến dịch này hoặc động cơ là gì.
Zack Whittaker của TechCrunch, người đã phát hiện thêm chi tiết về hoạt động này, cho biết nó cũng nhằm mục đích đánh cắp thông tin đăng nhập Gmail bằng cách cung cấp một trang đăng nhập Gmail giả mạo để thu thập mật khẩu và mã two-factor authentication (2FA) của nạn nhân. Khoảng 50 cá nhân đã bị ảnh hưởng. Điều này bao gồm những người bình thường trong cộng đồng người Kurd, các học giả, quan chức chính phủ, lãnh đạo doanh nghiệp và các nhân vật cấp cao khác.
Những phát hiện này cũng xuất hiện sau vụ rò rỉ lớn mà nhóm tin tặc Iran Charming Kitten đã phải chịu, làm lộ rõ hoạt động nội bộ, cơ cấu tổ chức và các nhân sự chủ chốt liên quan. Các vụ rò rỉ cũng làm sáng tỏ một nền tảng giám sát có tên Kashef (còn gọi là Discoverer hoặc Revealer) để theo dõi công dân Iran và công dân nước ngoài bằng cách tổng hợp dữ liệu được thu thập bởi các bộ phận khác nhau liên quan đến Islamic Revolutionary Guard Corps (IRGC).
Vào tháng 10 năm 2025, Gharib cũng đã công bố một cơ sở dữ liệu chứa 1.051 cá nhân đã đăng ký các chương trình đào tạo khác nhau do Ravin Academy, một trường an ninh mạng được thành lập bởi hai đặc vụ của Bộ Tình báo và An ninh Iran (MOIS), Seyed Mojtaba Mostafavi và Farzin Karimi, cung cấp. Tổ chức này đã bị cấm vận bởi Bộ Tài chính Hoa Kỳ vào tháng 10 năm 2022 vì đã hỗ trợ và tạo điều kiện cho các hoạt động của MOIS.
Điều này bao gồm hỗ trợ MOIS đào tạo về information security, threat hunting, cybersecurity, red teaming, digital forensics, malware analysis, security auditing, penetration testing, network defense, incident response, vulnerability analysis, mobile penetration testing, reverse engineering và security research.
"Mô hình này cho phép MOIS thuê ngoài việc tuyển dụng và kiểm tra ban đầu trong khi vẫn duy trì quyền kiểm soát hoạt động thông qua mối quan hệ trực tiếp của những người sáng lập với cơ quan tình báo," Gharib nói. "Cấu trúc lưỡng dụng này cho phép MOIS phát triển nguồn nhân lực cho các hoạt động mạng trong khi vẫn duy trì một lớp tách biệt khỏi sự gán ghép trực tiếp của chính phủ."
