جاكرتا - تم الكشف عن حملة تجسس إلكتروني جديدة مرتبطة بمصالح الدولة الإيرانية تستهدف المنظمات غير الحكومية لحقوق الإنسان وكذلك النشطاء والأفراد الذين يوثقون الانتهاكات المزعومة لحقوق الإنسان في إيران. يطلق على الحملة اسم RedKitten.
تم اكتشاف النشاط من قبل شركة الأمن السيبراني الفرنسية HarfangLab في يناير 2026. يقال إن حملة RedKitten تتزامن مع موجة من أعمال الشغب الوطنية في إيران التي اندلعت منذ أواخر عام 2025 ، والتي تسببت في ارتفاع التضخم وارتفاع أسعار المواد الغذائية وتراجع قيمة العملة. أفادت تقارير بأن القمع العنيف من قبل قوات الأمن ضد الاحتجاجات أدى إلى سقوط العديد من الضحايا وإغلاق الإنترنت على نطاق واسع.
"يعتمد هذا البرمجيات الخبيثة على GitHub و Google Drive للتكوين وجمع حمولات وحدات ، ويستخدم Telegram كوسيلة للقيام بالقيادة والتحكم" ، قال HarfangLab في تقريره.
ما يميز هذه الحملة هو الادعاء القوي بأن الجاني للتهديد يستغل نماذج اللغات الكبيرة (LLM) أو نماذج اللغة المستندة إلى الذكاء الاصطناعي لبناء وتنظيم جميع أجهزته الهجومية. بدأت الهجمات من أرشيف 7-Zip بعنوان باللغة الفارسية (فارسي) يحتوي على مستندات Microsoft Excel بنمط XLSM وقد تم اختراقها بواسطة ماكرو ضار.
يدعي جدول البيانات أنه يحتوي على بيانات المتظاهرين الذين قتلوا في طهران بين 22 ديسمبر 2025 و 20 يناير 2026. ومع ذلك ، يتم تضمين ماكرو VBA خطير في ذلك ، عندما يتم تنشيطه ، يعمل كسقوط لزرع قائم على C # يسمى AppVStreamingUX_Multi_User.dll ، باستخدام تقنية حقن AppDomainManager.
ويرى هارفانغ لاب أن ماكرو VBA تم إنشاؤه على الأرجح بواسطة LLM. وتظهر الإشارات من "النمط العام لرموز VBA ، وأسماء المتغيرات والأساليب المستخدمة" ، وكذلك وجود تعليقات منظمة مثل "الجزء 5: الإبلاغ عن النتيجة والجدول الزمني إذا كان ناجحا".
ويُعتقد أن الهجوم استهدف بشكل خاص الأفراد الذين يبحثون عن معلومات عن الأشخاص المفقودين، من خلال استغلال الضغط العاطفي للضحايا لخلق شعور زائف بالطابع العاجل وتشغيل سلسلة من العدوى. وتبين التحليلات التي أجريت على البيانات في جداول البيانات، بما في ذلك عدم التوافق بين العمر وتاريخ الميلاد، أن البيانات تم تصميمها على الأرجح.
تم تسمية الباب الخلفي (الخلفي) المستخدم في هذه الحملة باسم SloppyMIO. يستغل البرنامج الخبيث GitHub كمعالج تسرب ميت للحصول على URL Google Drive الذي يحتوي على صور تحتوي على تكوين مخفي بشكل استغلال. تتضمن المعلومات رمزًا بوتيًا للبريد الإلكتروني، معرفًا بريديًا إلكترونيًا، بالإضافة إلى روابط لمجموعة متنوعة من الوحدات الإضافية.
هناك على الأقل خمس وحدات مدعومة ، وهي cm لتنفيذ الأوامر من خلال cmd.exe ، و do لجمع الملفات من النظام الضحية وتخزينها في تنسيق ZIP وفقا لحدود حجم API Telegram ، و up لكتابة الملفات إلى الدليل %LOCALAPPDATA%\Microsoft\CLR_v4.0_32\NativeImages\ مع البيانات المرسومة في الصورة ، و pr لإنشاء مهام مقررة للحفاظ على الاستمرار من خلال تشغيل البرنامج القابل للتنفيذ كل ساعتين ، وكذلك ra لتشغيل عملية جديدة.
بالإضافة إلى ذلك ، يمكن للبرمجيات الخبيثة الاتصال بخادم التحكم والتحكم (C2) عن طريق إرسال إشارات إلى ID الدردشة Telegram الذي تم تكوينه ، وتلقي تعليمات إضافية ، وإرسال نتائج تنفيذها مرة أخرى إلى المشغل. تشمل الأوامر المدعومة تنزيل لتشغيل الوحدة النمطية do ، cmd لتشغيل الوحدة النمطية cm ، و runapp لإطلاق عملية معينة.
"يمكن أن يلتقط هذا البرمجيات الخبيثة ويحفظ بعض الوحدات من التخزين عن بعد ، ويقوم بتشغيل أوامر عشوائية ، ويجمع ويصدر ملفات ، ويوزع البرمجيات الخبيثة الإضافية مع الاستمرار من خلال المهام المجدولة" ، قال HarfangLab. "يبعث SloppyMIO رسائل حالة ، ويرصد الأوامر ، ويحيل الملفات الناتجة عن السرقة إلى المشغل باستخدام API Telegram Bot كقائد وسيط".
ويستند التقدير للمؤثر الإيراني على وجود أشياء باللغة الفارسية، وموضوعات هجمات الإغواء، وأوجه التشابه في التكتيكات مع الحملات السابقة. واحدة منها هي Tortoiseshell، التي تستخدم أيضا وثائق إكسل خطيرة لنشر IMAPLoader من خلال تقنية حقن AppDomainManager.
واختيار GitHub كحلول تسوية تسربات البيانات ليس بالأمر الجديد. في أواخر عام 2022، كشفت شركة سيكورويوركس، التي أصبحت الآن جزءا من سفسوس، عن حملة فرعية لمجموعة من الدول الإيرانية تسمى نيميس كيتن تستخدم GitHub لتوزيع الخلفية المسماة Drokbk.
وتفاقمت هذه الحالة بسبب تزايد اعتماد الجناة الإلكترونيين على أدوات الذكاء الاصطناعي، مما يجعل الجهود المبذولة في مجال الإسناد والكشف أكثر صعوبة.
"اعتماد الجهات الفاعلة في مجال التهديد على البنية التحتية للسلع مثل GitHub و Google Drive و Telegram يعوق التتبع القائم على البنية التحتية التقليدية ، ولكن من المفارقات أنه يفتح أيضًا البيانات الوصفية المفيدة ويطرح تحديات أمنية تشغيلية خاصة بهذه الجهات الفاعلة".
ظهر هذا الإعلان بعد أسابيع قليلة من الكشف عن الناشط الإيراني المقيم في المملكة المتحدة والباحث المستقل في التجسس الإلكتروني، ناريمان غاريب، عن حملة أخرى من التصيد الاحتيالي تستخدم رابط "whatsapp-meeting.duckdns[.]org". تم نشر الروابط عبر WhatsApp وتلاعبت الضحايا مع صفحة تسجيل الدخول المزيفة لـ WhatsApp Web.
"تفحص هذه الصفحة الخادم المهاجم كل ثانية من خلال /api/p/{victim_id}/"، موضحا غريب. "هذا يسمح للمهاجم بتقديم رمز QR مباشرة من جلسة WhatsApp Web الخاصة بهم إلى الضحية. عندما يمسحها الضحية مع الهاتف المحمول ، يعتقد أنها ستنضم إلى "اجتماع" ، بدلا من ذلك ، يقوم المهاجم بتوثيق جلسة المتصفح الخاصة به. ويحصل المهاجم على وصول كامل إلى حساب WhatsApp للضحية. "
كما تطلب صفحة التصيد الإلكتروني إذن المستعرض للوصول إلى الكاميرا والميكروفون والموقع الجغرافي ، بحيث يعمل كأداة مراقبة قادرة على تسجيل صور وسمع وموقع الضحية في الوقت الفعلي. حتى الآن ، لم يكن من الواضح على وجه اليقين من هو الجاني وراء الحملة وما هي دوافعه الرئيسية.
وقال الصحفي التكنولوجي زاك ويتاكر، الذي تابع النشاط، إن الحملة تهدف أيضا إلى سرقة بيانات Gmail من خلال تقديم صفحات تسجيل دخول Gmail مزيفة تجمع كلمات المرور وكود المصادقة ثنائية العامل (2FA). أفادت تقارير بأن حوالي 50 شخصا وقعوا ضحايا، بما في ذلك أفراد عاديون من المجتمع الكردي، وأكاديميون، ومسؤولون حكوميون، ورجال أعمال، وآخرون من كبار الشخصيات.
ظهرت هذه النتيجة بعد فترة وجيزة من تسريب آخر مجموعة من المتسللين الإيرانيين ، Charming Kitten ، الذي كشف عن هيكل المنظمة ، وطريقة العمل الداخلية ، والأفراد الرئيسيين. كشف التسريب أيضا عن وجود منصة مراقبة تسمى Kashef - والمعروفة أيضا باسم Discoverer أو Revealer - والتي تستخدم لتتبع المواطنين الإيرانيين والأجانب من خلال الجمع بين البيانات من مختلف الإدارات المرتبطة بجيش الحرس الثوري الإيراني (IRGC).
وفي أكتوبر 2025، أصدر غريب أيضا قاعدة بيانات تضمنت 1051 فردا شاركوا في برامج تدريبية مختلفة في رافين أكاديمي، وهو مدرسة أمنية إلكترونية تأسست في عام 2019 من قبل اثنين من مشغلي وزارة الاستخبارات والأمن الإيرانية (MOIS)، سيد مجتبى مصطفىفي وفرزين كريمى. وقد فرضت وزارة الخزانة الأمريكية عقوبات على المؤسسة في أكتوبر 2022 لدعم وتسهيل عمليات MOIS.
ويقال إن أكاديمية رافين توفر التدريب في مجالات الأمن المعلوماتي ، وعمليات البحث عن التهديدات ، والفرق الأحمر ، والطب الشرعي الرقمي ، وتحليل البرمجيات الخبيثة ، ومراجعات الأمن ، واختبار الاختراق ، والدفاع عن الشبكة ، والاستجابة للحوادث ، وتحليل الثغرات ، واختبار الاختراق المحمول ، والهندسة العكسية ، وأبحاث الأمن.
في بيان على قناته الرسمية على Telegram في 22 أكتوبر 2025 ، أكدت رافين أكاديمي حدوث خرق للبيانات. وذكروا أن أحد الأنظمة عبر الإنترنت المضيفة خارج الشبكة الداخلية كان هدفا لهجوم إلكتروني ، مما أدى إلى تسريب أسماء المستخدمين وأرقام الهواتف النقالة لبعض المشاركين في التدريب. ومع ذلك ، تزعم الأكاديمية أن الهجوم كان يهدف إلى إلحاق الضرر بسمعتها وأن معظم البيانات المسربة غير صالحة.
وقال غريب: "تتيح هذه النموذجية لوزارة الأمن الداخلي تفويض عملية التجنيد الأولية وعملية الفرز، مع الحفاظ على السيطرة التشغيلية من خلال العلاقات المباشرة بين مؤسسيها ووكالات الاستخبارات". "تتيح هذه الهيكل المزدوجة لوزارة الأمن الداخلي تطوير القدرات السيبرانية، مع الحفاظ على المسافة من التبعية المباشرة".
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
العلامات الأكثر شيوعًا
#Prabowo Subianto #دونالد ترمب #حج 2022 #public school #bgn #konflik timur tengahجمع
