Se sospecha que atacantes de habla farsi alineados con los intereses nacionales de Irán están detrás de una nueva campaña dirigida a organizaciones no gubernamentales e individuos involucrados en un reciente historial de abusos contra los derechos humanos.
Esta actividad, observada por HarfangLab en enero de 2026, lleva el nombre en código RedKitten. Se dice que esto coincide con los disturbios que comenzaron en todo Irán a finales de 2025 en protesta contra el aumento de la inflación, el aumento de los precios de los alimentos y la debilidad de la moneda. La consiguiente represión provocó numerosas víctimas y un apagón de Internet.
«El malware se basa en GitHub y Google Drive para la configuración y recuperación de carga útil modular, y utiliza Telegram para comando y control», dijo la firma francesa de ciberseguridad.
Lo notable de esta campaña es que los atacantes probablemente dependan de modelos de lenguaje a gran escala (LLM) para crear y ajustar las herramientas necesarias. El punto de partida del ataque es un archivo 7-Zip con un nombre de archivo persa que contiene un documento de Microsoft Excel con macros.
Se afirma que la hoja de cálculo XLSM contiene detalles sobre los manifestantes que murieron en Teherán entre el 22 de diciembre de 2025 y el 20 de enero de 2026. Sin embargo, cada hoja de cálculo está integrada con una macro VBA maliciosa que, cuando está habilitada, actúa como un gotero para un implante basado en C# (‘AppVStreamingUX_Multi_User.dll’) a través de una técnica conocida como inyección AppDomainManager.
Con respecto a las macros de VBA, hay indicios de que fueron generadas por LLM debido al «estilo general del código VBA, nombres de variables y métodos» utilizados, y la presencia de comentarios como «Parte 5: Informe de resultados y cronograma si tiene éxito».
Es probable que este ataque sea un intento de atacar a personas que buscan información sobre personas desaparecidas y explotar su angustia psicológica para crear una falsa sensación de urgencia y desencadenar una cadena de infección. El análisis de los datos de la hoja de cálculo, incluidas las discrepancias en edad y fecha de nacimiento, sugirió que fue inventado.
La puerta trasera, llamada SloppyMIO, utiliza GitHub como un sistema de resolución de caídas para obtener las URL de Google Drive que alojan imágenes cuyas configuraciones se obtienen esteganográficamente, incluidos tokens de bot de Telegram, ID de chat de Telegram y detalles de enlaces para organizar varios módulos. Se admiten hasta 5 módulos diferentes:
cm, ejecute un comando usando «cmd.exe» Ejecute, recopile archivos en el host comprometido y cree un archivo ZIP de cada archivo que se ajuste a los límites de tamaño de archivo de la API de Telegram, escriba el archivo en «%LOCALAPPDATA%\Microsoft\CLR_v4.0_32\NativeImages\» con los datos del archivo codificados dentro de la imagen recuperada a través de la API de Telegram pr, escriba el ejecutable en 2 Cree una tarea programada para que la persistencia se ejecute cada hora ra, inicie el proceso
Además, el malware puede conectarse a un servidor de comando y control (C2) para enviar balizas a ID de chat de Telegram configurados, recibir instrucciones adicionales y enviar los resultados al operador.
descargar – ejecutar el módulo do cmd – ejecutar el módulo cm runapp para iniciar el proceso
«El malware puede recuperar y almacenar en caché múltiples módulos desde un almacenamiento remoto, ejecutar comandos arbitrarios, recopilar y extraer archivos y desplegar persistentemente más malware a través de tareas programadas», dijo HarfangLab. «SloppyMIO balizas para mensajes de estado, encuestas para comandos y aprovecha la API de Telegram Bot para comando y control para enviar archivos extraídos a operadores designados».
En cuanto a la atribución, el vínculo con el actor iraní se basa en la presencia de artefactos en idioma persa, el tema del señuelo y similitudes tácticas con campañas anteriores, incluida la campaña de Tortoiseshell que aprovechó un documento Excel malicioso para entregar IMAPLoader mediante la inyección de AppDomainManager.
La elección de GitHub por parte de los atacantes como solucionador de caídas muertas tampoco tiene precedentes. A finales de 2022, Secureworks (ahora parte de Sophos) detalló una campaña realizada por un subgrupo del grupo de estado-nación iraní conocido como Nemesis Kitten. La campaña utilizó GitHub como conducto para distribuir una puerta trasera llamada Drokbk.
Para complicar aún más el problema, los adversarios están desplegando cada vez más herramientas de inteligencia artificial (IA), lo que dificulta que los defensores distingan entre los atacantes.
«La dependencia de los actores de amenazas de la infraestructura mercantilizada (GitHub, Google Drive, Telegram) impide el seguimiento tradicional basado en la infraestructura, pero paradójicamente expone metadatos útiles y crea otros desafíos de seguridad operativa para los actores de amenazas», dijo HarfangLab.
El desarrollo se produce semanas después de que Nariman Gharib, un activista iraní radicado en el Reino Unido e investigador independiente de ciberespionaje, revelara detalles de un enlace de phishing (‘whatsapp-meeting.duckdns(.)org’) distribuido a través de WhatsApp que captura las credenciales de las víctimas mostrando una página web de inicio de sesión falsa de WhatsApp.
«Esta página sondea el servidor del atacante cada segundo a través de /api/p/{victim_id}/», explicó Gharib. «Esto permite a un atacante proporcionar un código QR en vivo a una víctima directamente desde su sesión web de WhatsApp. Cuando un objetivo escanea un código QR con su teléfono móvil y lo hace pensando que se está uniendo a una ‘reunión’, en realidad está autenticando la sesión del navegador del atacante. El atacante ahora tiene acceso completo a la cuenta de WhatsApp de la víctima».
La página de phishing está diseñada para solicitar permiso del navegador para acceder a la cámara, el micrófono y la geolocalización del dispositivo, convirtiéndolo efectivamente en un kit de vigilancia que puede capturar las fotografías, el audio y la ubicación actual de la víctima. En este momento, no está claro quién está detrás de esta campaña y cuáles fueron los motivos detrás de ella.
Zack Whittaker de TechCrunch, quien detalló la campaña, dijo que también apunta a robar credenciales de Gmail proporcionando una página de inicio de sesión de Gmail falsa que recopila las contraseñas de las víctimas y los códigos de autenticación de dos factores (2FA). Aproximadamente 50 personas resultaron afectadas. Esto incluye a gente corriente, académicos, funcionarios gubernamentales, líderes empresariales y otros dignatarios de toda la comunidad kurda.
Los hallazgos se producen después de una importante violación por parte del grupo de hackers iraní Charming Kitten, que reveló su funcionamiento interno, su estructura organizativa y los actores clave involucrados. La filtración también arrojó luz sobre una plataforma de vigilancia llamada Kashef (también conocida como Discoverer o Revealer) para rastrear a ciudadanos iraníes y extranjeros agregando datos recopilados por varios departamentos asociados con el Cuerpo de la Guardia Revolucionaria Islámica (IRGC).
En octubre de 2025, Ghalib también publicó una base de datos que contenía 1.051 personas inscritas en varios programas de capacitación ofrecidos por la Academia Rabin, una escuela de ciberseguridad fundada por dos agentes del Ministerio de Inteligencia y Seguridad iraní (MOIS), Seyed Mojtaba Mostafavi y Farzin Karimi. Esta entidad fue sancionada por el Departamento del Tesoro de Estados Unidos en octubre de 2022 por apoyar y permitir el funcionamiento de MOIS.
Esto incluye ayudar a MOIS con capacitación en seguridad de la información, búsqueda de amenazas, ciberseguridad, equipos rojos, análisis forense digital, análisis de malware, auditorías de seguridad, pruebas de penetración, defensa de redes, respuesta a incidentes, análisis de vulnerabilidad, pruebas de penetración móvil, ingeniería inversa, investigaciones de seguridad y más.
«Este modelo permite al MOIS subcontratar el reclutamiento inicial y la investigación mientras mantiene el control operativo a través de relaciones directas entre los fundadores y las agencias de inteligencia», dijo Ghalib. «Esta estructura de doble propósito permite al MOIS desarrollar capital humano para operaciones cibernéticas manteniendo al mismo tiempo una capa de separación de la atribución directa del gobierno».
Source link
