In den letzten Wochen haben Sicherheitsermittler eine digitale Spionagekampagne gestartet, die direkt auf diejenigen abzielt, die seit Ende 2025 Informationen über Missbrauch im Iran dokumentieren und suchen. Die französische Firma HarfangLab nannte diese Operation als RedKitten nach Identifizierung einer Infektionskette, die mit einer 7-Zip komprimierten Datei beginnt und mit einem persistenten Implantat endet, das in der Lage ist, Anweisungen durch Telegram zu erhalten. Sie können die technische Analyse von HarfangLab hier lesen: Harfanglab.io.
Der Kontext ist nicht weniger: Die Kampagne fällt mit einer Welle nationaler Proteste zusammen, die Ende 2025 wegen des Anstiegs der Preise und der Abwertung der Währung ausgebrochen ist, und das nach Organisationen wie Amnesty International sie lösten starke Unterdrückung, zahlreiche Opfer und massive Internet-Gerichte aus, die den Informationsfluss komplizierten. Die Presseberichte haben auch die sehr ernsten Auswirkungen auf das tägliche Leben während dieser digitalen Blackouts dokumentiert: siehe zum Beispiel die Abdeckung Regentropfen über Verbindungsverschlüsse und die Schwierigkeit der Kommunikation.
Die anfängliche Falle ist scheinbar einfach und emotional kraftvoll: eine XLSM-Datei mit einem Farsi-Namen, die Listen von vermissten oder verstorbenen Personen in den Protesten verspricht. Aber hinter dem mitfühlenden Aussehen ist ein böswilliges VBA-Makro, das, wenn der Benutzer die Makros ermöglicht, als Tropf für eine C #-Bibliothek fungiert, die in den Prozess durch eine Technik, die als AppDomainManager-Injektion bezeichnet wird. Die von der Community erkannte Datei wird in VirusTotal archiviert: 7-Zip-Datensatz.
Einer der auffälligsten Aspekte des Berichts ist die Beobachtung von Analysten über die Urheberschaft des VBA-Codes: Stil, variable Namen und bestimmte Kommentare legen nahe, dass der Code mit Hilfe eines Sprachmodells generiert werden könnte. Dies passt zu einem wachsenden Trend, in dem bösartige Akteure künstliche Intelligenz-Tools verwenden, um Phishing und Malware-Erstellung zu beschleunigen, sowohl Zuschreibung als auch Erkennung zu komplizieren.
Das resultierende Implantat wurde genannt SloppyMIO und verfügt über eine modulare Architektur. Anstatt sich auf eine eigene exponierte Infrastruktur zu verlassen, nutzen die Betreiber öffentliche Dienste wie GitHub und Google Drive, um die Art und Weise zu verbergen, wie sie ihre Konfiguration wiederherstellen: ein öffentliches Repository fungiert als "dead drop"-Auflösung, die auf die URLs von Google Drive verweist, in denen Bilder vorhanden sind, die beim Herunterladen die versteckte Konfiguration mit steganografischen Techniken enthalten. Diese Konfiguration beinhaltet das Token eines Telegram-Bots und die Chat-Kennung, die Malware verwendet, um mit seinem Betreiber zu kommunizieren.
Mit diesem Laufkanal kann SloppyMIO zusätzliche Module herunterladen und Remoteaufträge ausführen. Seine Fähigkeiten umfassen die Ausführung von Remote-Befehlen, das Sammeln und Komprimieren von Dateien für die Exfiltration innerhalb der Grenzen von Telegram API, die Bereitstellung von codierten Binaries innerhalb von Bildern und die Festlegung von Persistenz durch programmierte Aufgaben. Kurz gesagt, es ist ein komplettes Werkzeug für Spionage und Exfiltration, das die Verwendung von traditionellen Servern vermeidet und so schwierig macht, sie zu verfolgen, obwohl die Verwendung von gemeinsamen Diensten Metadaten verlässt, die auch für Verteidiger nützlich sein können.
Die Zeichen, die auf eine Verbindung mit den iranischen Staatsinteressen hinweisen, sind nicht auf die Sprache der Akten beschränkt: die Frage der Deko, die verwendeten Techniken und taktische Parallelen zu früheren Kampagnen verursachen den Forschern eine Verbindung mit Gruppen wie Teheran. Dies ist nicht das erste Mal, dass Schauspieler legitime Plattformen wie GitHub verwenden, um "Botschaften" zu hinterlassen oder Links, die Malware dann interpretiert; frühere Berichte hatten bereits Kampagnen mit ähnlichen Taktiken dokumentiert. Die Nutzung der Infrastruktur von Drittanbietern stellt auch ein Dilemma dar: Zum einen ist es schwierig, traditionell zu blockieren, zum anderen lässt es Spuren hinterlassen, die Antwortteams nutzen können, um die Operation zu verfolgen.
Diese Episode ist auch Teil eines größeren Kontexts der feindlichen Aktivität in der Region: In den letzten Wochen hat der Forscher und Aktivist Nariman Gharib Proben einer Phishing-Kampagne veröffentlicht, die WhatsApp zum Stehlen von QR-Sitzungen und sogar fordert Kamera- und Mikrofonberechtigungen, um den Browser in ein Überwachungstool zu verwandeln. Ihr Bericht und Ihre Artefakte sind öffentlich in GitHub und vor Ort verfügbar: github.com / narimangharib und blog.com.
Die journalistische und technische Untersuchung zu diesen Anschlägen hat auch ein Muster von Opfern entdeckt, die über Aktivisten und Journalisten hinausgehen: Wissenschaftler, Gemeindeleiter, Unternehmer und Beamte sind das Ziel von Techniken gewesen, um Anmeldeinformationen zu stehlen - einschließlich der Verfälschung von Anmeldeseiten, die Passwörter und Zwei-Faktor-Verifikationscodes anfordern -, wie TechCrunch in einem kürzlichen Bericht detailliert erläutert: techcrunch.com.
Bekanntgaben von Gruppen wie Charming Kitten und internen Monitoring-Tools fügen eine weitere Besorgnis hinzu: frühere Lecks haben Tracking-Systeme und Datenerfassungsplattformen gezeigt, die mit verschiedenen Machtzentren im Iran verbunden sind, und haben auch Schulungs- und Rekrutierungsnetzwerke mit Verbindungen zu staatlichen Institutionen ausgesetzt, die die Trennung zwischen zivilen Aktivitäten und Geheimdiensten erschweren. Einige Dokumente, die von externen Forschern veröffentlicht wurden, liefern Einzelheiten dieser Strukturen und Einrichtungen, die in der Vergangenheit sanktioniert wurden, wie sich in den öffentlichen Informationen der United States Treasury Department widerspiegelt: Home.treasury.gov.
Während technische Untersuchungen von entscheidender Bedeutung sind, zeigt dieser Fall etwas menschlicher: Die Angreifer nutzen die legitime Sorge der Opfer und produzieren Listen, die als Beweis für verlorene oder fehlende Leben erscheinen, um impulsive Reaktionen zu verursachen. Die Analyse der von den Forschern veröffentlichten Dateien ergab Unstimmigkeiten in den Daten (z.B. kontradiktive Daten und Alter), was darauf hindeutet, dass die Lures künstlich gebaut wurden, um Klicks anzulocken.
RedKitten ist ein Warnsignal für die Konvergenz zwischen traditionellen Bedrohungen und neuen Instrumenten: Die Kombination von emotionalen Lures, öffentlicher Infrastruktur und eventuellen Assistenten der Code-Generation beschleunigt die operative Kapazität von feindlichen Akteuren. Für Verteidiger und Nutzer ist es eine doppelte Herausforderung: Verletzliche Gemeinschaften über die Risiken zu erziehen, ungeprüfte Anhänge zu öffnen, und gleichzeitig technische Verteidigungen zu verbessern, um Muster von schädlichem Verhalten zu erkennen, die nicht nur auf der Anwesenheit eines "klassischen" C2-Servers basieren.
Die Stücke des Puzzles - technische Berichte, forensische Analyse und frühere Lecks - geben heute keine endgültige Antwort auf das ultimative Interesse hinter jeder Operation, aber sie zeigen eine zunehmende Raffinesse in der Ausführung von Spionagekampagnen. Wenn die Erzählungen verwendet, um echte Wunden zu täuschen, ist die Verantwortung von Forschern, Medien und Plattformen zweifach: zu dokumentieren und zu erklären, ohne zu vernichten, und zu helfen, Barrieren zu entwerfen, die den Erfolg derer, die den Schmerz anderer Menschen nutzen. Für diejenigen, die die Forschung, die Berichte und die technischen Proben von HarfangLab und anderen Forschern genau verfolgen wollen, sind ein guter Ausgangspunkt: Harfanglab.io, das Dossier von Nariman Gharib in GitHub und die Abdeckung technischer Mittel wie Technik.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...