Nas últimas semanas, os investigadores de segurança deram origem a uma campanha de espionagem digital que aponta directamente aqueles que documentam e procuram informações sobre os abusos ocorridos no Irão desde o final de 2025. A firma francesa HarfangLab bautizou esta operação como RedKitten Depois de identificar uma cadeia de infecção que começa com um arquivo comprimido em 7-Zip e termina com um implante persistente capaz de receber instruções através do Telegram. Você pode ler a análise técnica de HarfangLab aqui: harfanglab.io.
O contexto não é menor: a campanha coincide com uma onda de protestos nacionais que irromperam no final de 2025 pela subida de preços e depreciação da moeda, e que, segundo organizações como Amnesty International, desencadearam uma forte repressão, muitas vítimas e cortes massivos da Internet que complicaram a circulação de informações. Relatórios de imprensa também documentaram o gravíssimo impacto na vida cotidiana durante esses apagões digitais: ver por exemplo a cobertura Cloudflare sobre fechamentos de conectividade e dificuldade em se comunicar.
A armadilha inicial é aparentemente simples e emocionalmente potente: um arquivo XLSM com um nome em farsi que promete lista de pessoas desaparecidas ou falecidas nos protestos. Mas, por trás da aparência compassiva, esconde-se uma macro VBA maliciosa que, se o usuário habilita as macros, atua como gotero para uma biblioteca C# que é injetada no processo através de uma técnica conhecida como AppDomainManager injection. O ficheiro detectado pela comunidade está arquivado no VírusTotal: registo do 7- Zip.
Um dos aspectos mais marcantes do relatório é a observação dos analistas sobre a autoria do código VBA: o estilo, os nomes de variáveis e certos comentários sugerem que o código pode ter sido gerado com ajuda de um modelo de linguagem. Isso se encaixa com uma tendência crescente em que atores maliciosos empregam ferramentas de inteligência artificial para acelerar a criação de phishing e malware, complicando tanto a atribuição como a detecção.
O implante resultante foi denominado SloppyMIO e possui uma arquitetura modular. Em vez de depender de infra-estruturas próprias, os operadores usam serviços públicos como o GitHub e o Google Drive para esconder a forma como recuperam a sua configuração: um repositório público atua como resolução de "dead drop" que aponta para URLs do Google Drive onde há imagens que, ao baixar, contêm a configuração escondida por meio de técnicas esteganográficas. Essa configuração inclui o token de um bot Telegram e o identificador de chat que o malware usa para se comunicar com seu operador.
Com essa canalização em funcionamento, o SloppyMIO pode baixar módulos adicionais e executar comandos remotos. Entre as suas capacidades estão a executar comandos remotos, a recolha e a compactação de ficheiros para exfiltração dentro dos limites da API do Telegram, a implantação de binários codificados dentro de imagens e a persistência por tarefas agendadas. Em suma, trata-se de uma ferramenta completa para espionagem e exfiltração que evita empregar servidores tradicionais e, portanto, dificulta seu rastreamento, embora o uso de serviços compartilhados deixa metadados que também podem ser úteis para os defensores.
Os indícios que apontam para uma conexão com interesses públicos iranianos não se limitam ao idioma dos arquivos: o tema do senhô, as técnicas empregadas e paralelismos tácticos com campanhas prévias fazem com que os pesquisadores plantem um vínculo com grupos afins a Teerão. Não é a primeira vez que atores usam plataformas legítimas como o GitHub para deixar “mensagens” ou links que o malware depois interpreta; relatórios anteriores já haviam documentado campanhas com táticas semelhantes. O uso de infra-estruturas de terceiros, além disso, levanta um dilema: por um lado, dificulta o bloqueio tradicional, mas por outro deixa rastros que as equipes de resposta podem aproveitar para traçar a operação.
Este episódio também se inscreve em um contexto maior de atividade hostil na região: nas últimas semanas o pesquisador e ativista Nariman Gharib publicou amostras de uma campanha de phishing que suplanta WhatsApp para roubar sessões mediante QR e que até pede permissões de câmera e microfone para converter o navegador em uma ferramenta de vigilância. Seu relatório e os artefatos estão disponíveis publicamente no GitHub e em seu site: github.com/narimangharib e blog.narimangharib.com.
A investigação jornalística e técnica sobre estes ataques também descobriu um padrão de vítimas que vai além de ativistas e jornalistas: acadêmicos, líderes comunitários, empresários e funcionários têm sido alvo de técnicas concebidas para roubar credenciais, incluindo a falsificação de páginas de início de sessão que solicitam senhas e códigos de verificação de dois fatores, como detalha TechCrunch em uma reportagem recente: techcrunch.com.
As revelações sobre grupos como Charming Kitten e ferramentas internas de vigilância acrescentam outra camada de preocupação: vazamentos prévios mostraram sistemas de rastreamento e plataformas de coleta de dados associadas a diferentes centros de poder no Irã, e também puseram a descoberto redes de formação e recrutamento com ligações a instituições estatais que complicam a separação entre atividades civis e operações de inteligência. Alguns documentos publicados por pesquisadores externos expõem detalhes sobre essas estruturas e entidades que foram sancionadas no passado, como recolhe a informação pública do Departamento do Tesouro dos Estados Unidos: home.treasury.gov.
Embora as investigações técnicas sejam cruciais, este caso sublinha algo mais humano: os atacantes estão a explorar a preocupação legítima das vítimas, fabricando listados que aparentam ser provas de vidas perdidas ou desaparecidas para provocar reações impulsivas. A análise dos arquivos publicados pelos pesquisadores revelou inconsistências nos dados (fechas e idades contraditórias, por exemplo), sugerindo que os señuelos foram construídos artificialmente para atrair cliques.
Em termos mais amplos, o RedKitten é um sinal de alerta sobre a convergência entre ameaças tradicionais e novas ferramentas: a combinação de senhões emocionais, infraestrutura pública e, possivelmente, assistentes de geração de código acelera a capacidade operacional de atores hostis. Para defensores e usuários implica um duplo desafio: educar comunidades vulneráveis sobre os riscos de abrir anexos não verificados e, ao mesmo tempo, melhorar as defesas técnicas para detectar padrões de comportamento malicioso que não se apoiem apenas na presença de um servidor C2 “clássico”.
As peças do quebra-cabeças —relatórios técnicos, análises forenses e vazamentos prévios — não dão hoje uma resposta definitiva sobre o último interesse por trás de cada operação, mas mostram uma sofisticação crescente na forma de executar campanhas de espionagem. Quando as narrativas usadas para enganar tocam feridas reais, a responsabilidade de pesquisadores, meios e plataformas é dupla: documentar e explicar sem revitimizar, e ajudar a projetar barreiras que reduzam o sucesso daqueles que se aproveitam da dor alheia. Para aqueles que procuram seguir de perto a pesquisa, os relatórios e as amostras técnicas compartilhadas por HarfangLab e outros pesquisadores são um bom ponto de partida: harfanglab.io, o dossier de Nariman Gharib em GitHub e a cobertura de meios técnicos como TechCrunch.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...