SloppyMIO Hintertür
Ein persischsprachiger Akteur, der mutmaßlich mit iranischen Staatsinteressen verbunden ist, steht im Verdacht, eine neue Cyber-Spionagekampagne gegen Nichtregierungsorganisationen und Einzelpersonen zu orchestrieren, die aktuelle Menschenrechtsverletzungen dokumentieren. Sicherheitsforscher identifizierten die Aktivität im Januar 2026 und gaben ihr den Codenamen RedKitten.
Inhaltsverzeichnis
Politischer Kontext und Targeting-Strategie
Die Kampagne überschneidet sich zeitlich stark mit den weit verbreiteten Unruhen im Iran, die Ende 2025 begannen und durch hohe Inflation, steigende Lebensmittelpreise und eine massive Währungsabwertung ausgelöst wurden. Berichten zufolge führten die darauf folgenden Repressionen der Regierung zu zahlreichen Opfern und anhaltenden Internetausfällen. Die Operation scheint darauf abzuzielen, diese Situation auszunutzen, indem sie Menschen, die nach Informationen über vermisste oder getötete Demonstranten suchen, ins Visier nimmt und deren emotionalen Stress ausnutzt, um Dringlichkeit zu erzeugen und Skepsis zu mindern.
Erstinfektionsvektor und LLM-getriebene Entwicklung
Die Angriffskette beginnt mit einem 7-Zip-Archiv, dessen Dateiname in Farsi verfasst ist. Darin befinden sich Microsoft Excel-Tabellen mit schädlichen Makros. Diese XLSM-Dateien geben vor, in Teheran zwischen dem 22. Dezember 2025 und dem 20. Januar 2026 getötete Demonstranten aufzulisten; Unstimmigkeiten wie abweichende Alters- und Geburtsdaten deuten jedoch darauf hin, dass die Daten gefälscht sind. Sobald die Makros aktiviert sind, schleust ein VBA-basierter Dropper mithilfe von AppDomainManager-Injection eine C#-Datei namens „AppVStreamingUX_Multi_User.dll“ ein.
Die Codeanalyse lässt vermuten, dass bei der Entwicklung große Sprachmodelle verwendet wurden, basierend auf der Struktur des Makros, den Namenskonventionen und den eingebetteten Kommentaren, die automatisierten oder instruktiven Anweisungen ähneln.
SloppyMIO-Hintertürarchitektur und -fähigkeiten
Die als SloppyMIO identifizierte, implantierte Hintertür nutzt legitime Cloud- und Kollaborationsplattformen. GitHub dient als Dead-Drop-Resolver, um Google Drive-URLs zu ermitteln, die Bilder mit Konfigurationsdaten per Steganografie enthalten. Zu den extrahierten Einstellungen gehören Zugangsdaten für den Telegram-Bot, Chat-IDs und Links zu weiteren Schadprogrammen.
SloppyMIO unterstützt mehrere Funktionsmodule, die die Ausführung von Befehlen, das Sammeln und Exfiltrieren von Dateien, die Bereitstellung von Nutzdaten, die Persistenz durch geplante Aufgaben und die Ausführung von Prozessen ermöglichen. Die Malware kann diese Module herunterladen, zwischenspeichern und bei Bedarf ausführen, wodurch die Angreifer umfassende Kontrolle über kompromittierte Systeme erhalten.
Unterstützte Funktionsmodule umfassen:
- Befehlsausführung über den Windows-Befehlsinterpreter
- Dateisammlung und ZIP-basierte Datenexfiltration gemäß den Telegram-API-Beschränkungen
- Dateischreiben in ein lokales Anwendungsdatenverzeichnis mithilfe von bildcodierten Nutzdaten
- Erstellung geplanter Aufgaben zur wiederkehrenden Ausführung
- Beliebige Prozessinitiierung
- Kommando und Kontrolle via Telegram
Neben der modularen Nutzlastübertragung gewährleistet SloppyMIO die kontinuierliche Kommunikation mit seinen Bedienern über die Telegram Bot API. Das Implantat sendet Systemstatussignale, fragt Anweisungen ab und übermittelt gesammelte Daten über Telegram-Chats. Zusätzlich unterstützt es die direkte Befehlsausgabe von einem separaten Kommando- und Kontrollpunkt aus.
Zu den beobachteten Bedienerbefehlen gehören:
- Auslösung der Dateisammlung und -exfiltration
- Ausführen beliebiger Shell-Befehle
- Starten bestimmter Anwendungen oder Prozesse
Zuschreibung und historische Parallelen
Die Zuordnung zu iranisch-nahen Akteuren basiert auf mehreren Indikatoren: persischsprachige Artefakte, thematische Anspielungen auf innenpolitische Unruhen und taktische Überschneidungen mit früheren Kampagnen. Insbesondere bestehen Ähnlichkeiten zu Operationen, die Tortoiseshell zugeschrieben werden und zuvor schädliche Excel-Dateien sowie AppDomainManager-Injection missbraucht haben, sowie zu einer Kampagne aus dem Jahr 2022, die mit einem Nemesis-Kitten-Subcluster in Verbindung steht und GitHub zur Verbreitung der Drokbk-Backdoor nutzte. Der zunehmende Einsatz KI-gestützter Tools erschwert die Unterscheidung der Akteure und die sichere Zuordnung zusätzlich.
Parallele Phishing-Operationen und weitergehende Auswirkungen
Unabhängig davon deckten Ermittler eine Phishing-Kampagne auf, die über WhatsApp verbreitet wurde und eine gefälschte WhatsApp-Web-Oberfläche nutzte, die auf einer DuckDNS-Domain gehostet wurde. Die Seite fragt permanent einen vom Angreifer kontrollierten Endpunkt ab, um einen QR-Code anzuzeigen, der mit der WhatsApp-Web-Sitzung des Angreifers verknüpft ist. Scannen die Opfer den Code, authentifizieren sie den Angreifer unwissentlich und gewähren ihm so vollen Zugriff auf ihr Konto. Die Phishing-Infrastruktur versucht außerdem, Browserberechtigungen für Kamera, Mikrofon und Standortzugriff zu erhalten und ermöglicht so faktisch eine Echtzeitüberwachung.
Weitere Erkenntnisse deuten auf damit zusammenhängende Aktivitäten hin, die darauf abzielen, Gmail-Zugangsdaten, einschließlich Passwörter und Zwei-Faktor-Authentifizierungscodes, über gefälschte Anmeldeseiten zu erbeuten. Rund 50 Personen sind betroffen, darunter Mitglieder der kurdischen Gemeinschaft, Akademiker, Regierungsangestellte, Wirtschaftsführer und andere Persönlichkeiten des öffentlichen Lebens. Die Verantwortlichen dieser Phishing-Angriffe und ihre genauen Motive sind noch unbekannt.
Operative Vorgehensweisen und defensive Implikationen
Die weitverbreitete Nutzung standardisierter Plattformen wie GitHub, Google Drive und Telegram erschwert die herkömmliche, infrastrukturbasierte Überwachung und birgt gleichzeitig Risiken für Angreifer, die Metadaten und operative Sicherheit ausnutzen können. In Verbindung mit der zunehmenden Nutzung von KI durch Bedrohungsakteure unterstreichen Kampagnen wie RedKitten die Notwendigkeit für Sicherheitsverantwortliche, sich auf Verhaltensanalysen, Inhaltsvalidierung und die Sensibilisierung für Nutzeraktivitäten zu konzentrieren, anstatt sich ausschließlich auf Infrastrukturindikatoren zu verlassen.
