Um grupo de ameaça que fala farsi e está alinhado com interesses estatais iranianos é suspeito de liderar uma nova campanha contra organizações não governamentais (ONGs) e indivíduos que documentam abusos recentes dos direitos humanos no Irã.
Batizada de RedKitten, a operação foi detectada pela empresa francesa de cibersegurança HarfangLab em janeiro de 2026.
A campanha coincide com os protestos que ocorrem no país desde o final de 2025, motivados pela alta inflação, aumento dos preços dos alimentos e desvalorização da moeda local.
A repressão aos manifestantes resultou em centenas de vítimas e no bloqueio da internet.
O malware utiliza serviços como GitHub e Google Drive para armazenar configurações e carregar módulos, enquanto o controle da operação é feito via Telegram, segundo a HarfangLab.
Um diferencial da campanha é o provável uso de grandes modelos de linguagem (LLMs) para criar e coordenar as ferramentas necessárias.
O vetor inicial é um arquivo 7-Zip com nome em farsi que contém planilhas Microsoft Excel com macros maliciosas.
Esses arquivos XLSM alegam mostrar dados sobre manifestantes mortos em Teerã entre dezembro de 2025 e janeiro de 2026, mas as informações parecem fabricadas, apresentando inconsistências em idades e datas de nascimento.
Cada planilha contém uma macro VBA maliciosa que, ao ser ativada, funciona como dropper para um implante em C# chamado "AppVStreamingUX_Multi_User.dll", utilizando uma técnica conhecida como AppDomainManager injection.
A HarfangLab aponta que o estilo do código VBA indica que ele foi provavelmente gerado por um LLM, com variáveis e comentários típicos desse tipo de ferramenta.
O objetivo aparente é atingir pessoas que buscam informações sobre desaparecidos, explorando seu estado emocional para induzir a execução da macro e iniciar a cadeia de infecção.
O backdoor, identificado como SloppyMIO, usa o GitHub como dead drop resolver para obter URLs de imagens hospedadas no Google Drive.
A configuração é oculta dentro dessas imagens via esteganografia, incluindo dados para controlar um bot no Telegram, que é usado para enviar comandos e receber arquivos exfiltrados.
SloppyMIO suporta até cinco módulos diferentes, entre eles:
- cm: executa comandos via "cmd.exe"
- do: coleta arquivos do sistema e os compacta em arquivos ZIP para envio via Telegram
- up: grava arquivos em uma pasta local usando dados codificados dentro de imagens
- pr: cria tarefas agendadas para garantir persistência, executando um programa a cada duas horas
- ra: inicia processos no sistema
Além disso, o malware se comunica com o servidor de C2 via Telegram para receber comandos, como baixar arquivos, executar comandos e rodar processos.
Segundo a HarfangLab, o uso da infraestrutura popular do GitHub, Google Drive e Telegram dificulta o rastreamento tradicional baseado em infraestrutura, mas também gera metadados que podem ser explorados na análise da operação.
A ligação com atores iranianos se baseia em vestígios linguísticos, nos temas usados para enganar vítimas e nas semelhanças táticas com campanhas anteriores, como a do grupo Tortoiseshell, que também usava documentos Excel maliciosos para entregar malware via AppDomainManager injection.
O uso do GitHub para essa finalidade já havia sido identificado em 2022 pelo grupo Nemesis Kitten, ligado ao Estado iraniano, ao entregar um backdoor chamado Drokbk.
Outra campanha divulgada recentemente por Nariman Gharib, ativista e investigador independente baseado no Reino Unido, revelou um esquema de phishing via WhatsApp que utiliza um site falso para capturar credenciais e autenticar o invasor na conta da vítima, além de solicitar permissões para câmera, microfone e geolocalização, transformando o ataque em uma ferramenta de vigilância.
Essa campanha atingiu cerca de 50 pessoas, incluindo membros da comunidade curda, acadêmicos, autoridades governamentais e líderes empresariais.
A descoberta ocorre após um vazamento importante que expôs o funcionamento e a estrutura do grupo de hackers Charming Kitten, também iraniano, bem como uma plataforma de vigilância chamada Kashef, usada para monitorar cidadãos iranianos e estrangeiros com base em dados coletados por departamentos ligados ao Corpo da Guarda Revolucionária Islâmica (IRGC).
Em outubro de 2025, Gharib divulgou um banco de dados com mais de mil pessoas que participaram de treinamentos oferecidos pela Ravin Academy, uma escola de cibersegurança criada por agentes do Ministério da Inteligência e Segurança do Irã (MOIS).
Essa instituição foi sancionada pelos EUA em 2022 por apoiar operações do MOIS.
A Ravin Academy oferece cursos em áreas como segurança da informação, threat hunting, red teaming, análise forense digital, análise de malware, auditoria, pentest, defesa de redes, resposta a incidentes, análise de vulnerabilidades, pentest móvel, engenharia reversa e pesquisa em segurança.
Segundo Gharib, o modelo permite que o MOIS terceirize o recrutamento e a triagem inicial de candidatos, mantendo o controle operacional direto por meio dos fundadores, o que possibilita o desenvolvimento de capital humano para operações cibernéticas com um grau de separação oficial.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...