В январе 2026 года французская компания HarfangLab обнаружила новую кампанию кибершпионажа под кодовым названием RedKitten, направленную против правозащитных НПО, активистов и лиц, документирующих нарушения прав человека. Деятельность злоумышленников совпала с общенациональными беспорядками в Иране, начавшимися в конце 2025 года из-за инфляции, роста цен на продовольствие и обесценивания валюты. Профиль угрозы указывает на фарсиязычных хакеров, действующих в интересах иранского государства, которые предположительно используют большие языковые модели (LLM) для создания и оркестровки своих инструментов.
Атака начинается с рассылки 7-Zip архива с именем файла на фарси, содержащего документы Microsoft Excel (XLSM) с вредоносными макросами. В качестве приманки используется ложный список протестующих, якобы погибших в Тегеране в период с 22 декабря 2025 года по 20 января 2026 года. Хакеры эксплуатируют психологическое состояние жертв и срочность поиска пропавших без вести, однако анализ содержимого выявил сфабрикованные данные, включая несоответствие возраста и дат рождения. Активация пользователем VBA-макроса запускает цепочку заражения через технику инъекции AppDomainManager, служащую дроппером для импланта на C с именем
Основное вредоносное ПО кампании получило название SloppyMIO. Для затруднения отслеживания злоумышленники используют общедоступную инфраструктуру: GitHub выступает в качестве резолвера для получения ссылок на Google Drive, где хранятся изображения со стеганографически скрытыми конфигурационными данными. Управление (Command-and-Control) осуществляется через Telegram. В скрытых данных содержатся токен бота, ID чата и ссылки на модули, что, несмотря на попытки маскировки, оставляет заметный след метаданных.
Функционал SloppyMIO разделен на пять модулей. Модуль «cm» выполняет команды через
Атрибуция атаки основана на артефактах на фарси, темах приманок и тактическом сходстве с предыдущими операциями. Наблюдается связь с группировкой Tortoiseshell, известной использованием вредоносных документов Excel для доставки IMAPLoader, и подгруппой Nemesis Kitten. Еще в конце 2022 года специалисты Secureworks (ныне Sophos) детально описали использование этими хакерами GitHub для доставки бэкдора Drokbk, что подтверждает преемственность методов.
Параллельно с кампанией RedKitten иранский независимый расследователь Нариман Гариб зафиксировал фишинговую атаку через домен
Журналист Зак Уиттакер в отчете для TechCrunch дополнил картину данными о нацеливании на пользователей Gmail. Злоумышленники использовали поддельные страницы входа для кражи паролей и кодов двухфакторной аутентификации (2FA). Жертвами стали около 50 человек, включая представителей курдской общины, академиков, правительственных чиновников и бизнес-лидеров. Мотивация и точная атрибуция этого конкретного инцидента пока остаются неустановленными.
Общий контекст угроз дополняется недавними утечками данных иранских спецслужб. Утечка информации о группировке Charming Kitten раскрыла существование инструмента Kashef (также известного как Discoverer или Revealer), представляющего собой платформу для слежки за гражданами и иностранцами с использованием данных Корпуса стражей исламской революции (КСИР). Эти сведения подтверждают глубокую интеграцию киберопераций в государственный аппарат наблюдения.
В октябре 2025 года Нариман Гариб также опубликовал базу данных Ravin Academy, содержащую сведения о 1051 человеке, зачисленном на программы обучения. Основатели академии, Сейед Моджтаба Мустафави и Фарзин Карими, являются оперативниками Министерства информации и национальной безопасности (MOIS) и попали под санкции Министерства финансов США в октябре 2022 года. Ravin Academy выполняет функции аутсорсинга для MOIS, занимаясь рекрутингом, проверкой кадров и поддержкой операций по анализу вредоносного ПО и проникновению в мобильные устройства, формально оставаясь отделенной от правительства.
Изображение носит иллюстративный характер
Атака начинается с рассылки 7-Zip архива с именем файла на фарси, содержащего документы Microsoft Excel (XLSM) с вредоносными макросами. В качестве приманки используется ложный список протестующих, якобы погибших в Тегеране в период с 22 декабря 2025 года по 20 января 2026 года. Хакеры эксплуатируют психологическое состояние жертв и срочность поиска пропавших без вести, однако анализ содержимого выявил сфабрикованные данные, включая несоответствие возраста и дат рождения. Активация пользователем VBA-макроса запускает цепочку заражения через технику инъекции AppDomainManager, служащую дроппером для импланта на C с именем
AppVStreamingUX_Multi_User.dll. Стиль кода, имена переменных и специфические комментарии, такие как «ЧАСТЬ 5: Сообщить о результате и запланировать, если успешно», указывают на генерацию скриптов искусственным интеллектом. Основное вредоносное ПО кампании получило название SloppyMIO. Для затруднения отслеживания злоумышленники используют общедоступную инфраструктуру: GitHub выступает в качестве резолвера для получения ссылок на Google Drive, где хранятся изображения со стеганографически скрытыми конфигурационными данными. Управление (Command-and-Control) осуществляется через Telegram. В скрытых данных содержатся токен бота, ID чата и ссылки на модули, что, несмотря на попытки маскировки, оставляет заметный след метаданных.
Функционал SloppyMIO разделен на пять модулей. Модуль «cm» выполняет команды через
cmd.exe, «do» собирает файлы и создает ZIP-архивы под ограничения API Telegram, а «up» записывает файлы в директорию %LOCALAPPDATA%\Microsoft\CLR_v4.0_32\NativeImages\ на основе данных из изображений. Для обеспечения персистентности модуль «pr» создает запланированную задачу, запускающую исполняемый файл каждые два часа, в то время как «ra» инициирует процессы. Сервер отправляет команды download, cmd и runapp для активации соответствующих функций. Атрибуция атаки основана на артефактах на фарси, темах приманок и тактическом сходстве с предыдущими операциями. Наблюдается связь с группировкой Tortoiseshell, известной использованием вредоносных документов Excel для доставки IMAPLoader, и подгруппой Nemesis Kitten. Еще в конце 2022 года специалисты Secureworks (ныне Sophos) детально описали использование этими хакерами GitHub для доставки бэкдора Drokbk, что подтверждает преемственность методов.
Параллельно с кампанией RedKitten иранский независимый расследователь Нариман Гариб зафиксировал фишинговую атаку через домен
whatsapp-meeting.duckdns[.]org. Жертвам в WhatsApp предлагается фальшивая страница входа в веб-версию мессенджера, которая ежесекундно опрашивает сервер злоумышленника через API. Пользователю демонстрируется реальный QR-код сессии хакера, сканирование которого предоставляет атакующим полный доступ к аккаунту, а также запрашивает разрешения на использование камеры, микрофона и геолокации. Журналист Зак Уиттакер в отчете для TechCrunch дополнил картину данными о нацеливании на пользователей Gmail. Злоумышленники использовали поддельные страницы входа для кражи паролей и кодов двухфакторной аутентификации (2FA). Жертвами стали около 50 человек, включая представителей курдской общины, академиков, правительственных чиновников и бизнес-лидеров. Мотивация и точная атрибуция этого конкретного инцидента пока остаются неустановленными.
Общий контекст угроз дополняется недавними утечками данных иранских спецслужб. Утечка информации о группировке Charming Kitten раскрыла существование инструмента Kashef (также известного как Discoverer или Revealer), представляющего собой платформу для слежки за гражданами и иностранцами с использованием данных Корпуса стражей исламской революции (КСИР). Эти сведения подтверждают глубокую интеграцию киберопераций в государственный аппарат наблюдения.
В октябре 2025 года Нариман Гариб также опубликовал базу данных Ravin Academy, содержащую сведения о 1051 человеке, зачисленном на программы обучения. Основатели академии, Сейед Моджтаба Мустафави и Фарзин Карими, являются оперативниками Министерства информации и национальной безопасности (MOIS) и попали под санкции Министерства финансов США в октябре 2022 года. Ravin Academy выполняет функции аутсорсинга для MOIS, занимаясь рекрутингом, проверкой кадров и поддержкой операций по анализу вредоносного ПО и проникновению в мобильные устройства, формально оставаясь отделенной от правительства.
