이란이 인권 NGO를 공격한 것과 관련된 Siber RedKitten 캠페인, 디지털 스파이를 위해 AI와 Telegram을 활용하다
자카르타 - 이란 국가의 이익과 관련된 새로운 사이버 스파이웨어 캠페인이 밝혀졌으며 이란의 최신 인권 침해 사건을 문서화 한 인권 단체와 활동가 및 개인을 대상으로합니다. 이 캠페인은 RedKitten이라고합니다.
이 활동은 2026년 1월 프랑스 사이버 보안 회사인 HarfangLab에 의해 감지되었습니다. RedKitten 캠페인은 2025년 말 이후 폭발한 이란의 국가적 폭동의 물결과 일치하는 것으로 알려져 있으며, 이는 인플레이션의 급격한 상승, 식량 가격 상승, 통화 가치의 급격한 하락에 의해 야기되었습니다. 보안 당국의 시위에 대한 강경한 처벌은 많은 사망자와 광범위한 인터넷 중단으로 알려졌습니다.
"이 악성 코드는 구성 및 모듈형 페이로드 가져오기 위해 GitHub 및 Google Drive를 사용하며 Telegram을 명령 및 제어 수단으로 사용합니다."라고 HarfangLab은 보고서에서 말했습니다.
이 캠페인을 눈에 띄게 만든 것은 범죄자가 XLSM 형식의 Microsoft Excel 문서가 포함 된 페르시아어 (Farsi) 이름의 7-Zip 아카이브에서 시작되어 위험한 매크로가 침투 한 전체 공격 장치를 구축하고 조직화하기 위해 대규모 언어 모델 (LLM) 또는 인공 지능 기반 언어 모델을 활용했다는 강력한 의혹이었습니다.
스프레드시트는 2025년 12월 22일부터 2026년 1월 20일까지 테헤란에서 사망한 시위대의 데이터를 포함하고 있다고 주장합니다. 그러나, 그 안에는 AppDomainManager 주입 기술을 사용하여 AppVStreamingUX_Multi_User.dll이라는 C# 기반 임플란트를 던지기 위해 활성화되면 작동하는 위험한 VBA 매크로가 포함되어 있습니다.
HarfangLab은 VBA 매크로가 LLM에 의해 생성된 것으로 추정합니다. "VBA 코드의 전체 스타일, 사용된 변수 및 메서드의 이름"과 "PART 5: 성공하면 결과를 보고 일정을 계획하십시오."와 같은 구조화 된 주석이 있음을 알 수 있습니다.
이 공격은 특히 실종자에 대한 정보를 찾는 개인을 표적으로 삼아 피해자의 감정적 압박을 악용하여 가짜 긴급감을 만들고 감염 체인을 유발했다고 추정됩니다. 스프레드시트의 데이터에 대한 분석, 나이와 생일 사이의 불일치를 포함하여, 데이터가 가장 가능성이 높다고 제안했습니다.
이 캠페인에서 사용된 백도어는 SloppyMIO라고 불립니다. 이 악성 코드는 GitHub을 데드 드롭 풀러로 사용하여 스테가노그래피로 숨겨진 구성을 포함하는 이미지를 저장하는 Google 드라이브 URL을 얻습니다. 이 정보에는 Telegram 봇 토큰, Telegram 채팅 ID 및 다양한 추가 모듈의 링크가 포함됩니다.
지원되는 모듈은 최소 5개로, cmd.exe를 통해 명령을 실행하는 cm, Telegram API 크기 제한에 따라 ZIP 형식으로 파일을 수집하고 보관하는 do, %LOCALAPPDATA%\Microsoft\CLR_v4.0_32\NativeImages\ 디렉토리에 파일을 쓰는 up, 매 2시간마다 실행 파일을 실행하여 지속성을 유지하기 위해 예약된 작업을 만드는 pr, 새로운 프로세스를 실행하는 ra입니다.
이 멀웨어는 또한 구성된 Telegram 채팅 ID로 비콘을 전송하고 추가 지침을 수신하고 다시 실행 결과를 운영자에게 전송하여 명령 및 제어(C2) 서버와 통신할 수 있습니다. 지원되는 명령에는 do 모듈을 실행하기위한 download, cm 모듈을 실행하기위한 cmd, 특정 프로세스를 시작하기위한 runapp가 포함됩니다.
"이 악성 코드는 원격 저장소에서 여러 모듈을 가져와 저장하고, 임의 명령을 실행하고, 파일을 수집 및 내보내고, 예약 된 작업을 통해 지속적인 악성 코드를 추가로 확산시킬 수 있습니다."라고 HarfangLab은 말했습니다. "SloppyMIO는 상태 메시지를 보내고 명령을 확인하고 Telegram Bot API를 사용하여 명령 및 제어로 도난 된 결과 파일을 운영자에게 보냅니다."
이란인의 공격자는 파르시아어로 된 유물, 공격 피드백 주제, 이전 캠페인과의 전술적 유사성에 기반합니다. 그 중 하나는 Tortoiseshell로, IMAPLoader를 AppDomainManager 주입 기술을 통해 확산시키기 위해 위험한 Excel 문서도 사용했습니다.
GitHub를 데드드롭 릴리저로 선택하는 것도 새로운 일이 아닙니다. 2022년 말, 현재 Sophos의 일부인 Secureworks는 GitHub를 사용하여 Drokbk이라는 백도어를 배포하는 네메시스 키튼이라는 이란 국가 그룹의 하위 클러스터 캠페인을 밝혀냈습니다.
이 상황은 사이버 범죄자들에 의한 인공 지능 도구의 채택 증가로 더욱 악화되고 있으며, 이는 추적 및 탐지 작업을 더욱 어렵게 만듭니다.
"위협 행위자의 GitHub, Google Drive 및 Telegram과 같은 상품 인프라에 대한 의존성은 기존의 인프라 기반 추적을 방해하지만, 역설적으로 유용한 메타데이터를 열어주고 행위자에게 운영 보안 문제를 제기합니다."라고 HarfangLab은 말했습니다.
이 발표는 영국에 기반을 둔 이란 활동가이자 사이버 스파이 독립 연구자인 나리만 가리브가 "whatsapp-meeting.duckdns[.]org" 링크를 사용한 또 다른 피싱 캠페인을 공개한 지 몇 주 만에 나왔습니다. 링크는 WhatsApp을 통해 배포되었으며 피해자를 가짜 WhatsApp 웹 로그인 페이지로 속였다.
"이 페이지는 /api/p/{victim_id}/를 통해 매 초마다 공격자 서버를 확인합니다."라고 Gharib은 말했습니다. "이를 통해 공격자는 피해자에게 자신의 WhatsApp 웹 세션에서 바로 QR 코드를 제공 할 수 있습니다. 대상이 휴대폰으로 스캔하면 '회의'에 가입하는 것처럼 생각하지만 실제로 공격자의 브라우저 세션을 인증합니다. 공격자는 피해자의 WhatsApp 계정에 완전한 액세스 권한을 얻습니다."
피싱 페이지는 또한 카메라, 마이크 및 지리적 위치에 액세스 할 수 있도록 브라우저에 대한 권한을 요청하므로 사진, 오디오 및 피해자의 위치를 실시간으로 녹화 할 수있는 감시 장치처럼 작동합니다. 지금까지 이러한 캠페인 뒤에있는 범죄자와 그 주요 동기는 확실하지 않습니다.
이 활동을 더 탐구한 TechCrunch의 저널리스트 인 잭 휘태커 (Zack Whittaker)는 이 캠페인이 Gmail 로그인 페이지를 제공하여 Gmail 인증 정보를 훔치는 것을 목표로했다고 말했습니다. 이는 비밀번호와 2 인증 코드 (2FA)를 수집하는 가짜 Gmail 로그인 페이지를 제공하는 것입니다. 50 명의 사람들이 쿠르드족 커뮤니티, 학자, 정부 관리, 사업가, 기타 고위 인사를 포함하여 피해자가 된 것으로 알려졌습니다.
이번 발견은 이란의 또 다른 해커 그룹 인 Charming Kitten이 조직 구조, 내부 작업 방식 및 주요 인력을 밝혀내는 큰 유출을 경험 한 직후 발생했습니다. 유출은 또한 이란과 외국인을 추적하기 위해 이란 이슬람 혁명 경비대 (IRGC)와 관련된 다양한 부서의 데이터를 결합하는 Kashef라는 감시 플랫폼 (또한 Discoverer 또는 Revealer로 알려짐)의 존재를 밝혀 냈습니다.
2025년 10월, 가리브는 2019년 이란 정보 및 보안부(MOIS)의 두 운영자, 세이드 모제타바 모스타파비와 파르진 카리미가 설립한 사이버 보안 학교인 라빈 아카데미에서 다양한 교육 프로그램에 참여한 1,051명의 개인을 포함하는 데이터베이스도 발표했습니다. 이 기관은 MOIS의 운영을 지원하고 촉진한 것으로 미국 재무부가 2022년 10월 제재를 가했습니다.
라빈 아카데미는 정보 보안, 위협 헌팅, 레드 팀, 디지털 포렌식, 멀웨어 분석, 보안 감사, 침투 테스트, 네트워크 방어, 사건 대응, 취약성 분석, 모바일 침투 테스트, 역설계, 보안 연구 분야에서 교육을 제공합니다.
2025년 10월 22일 공식 텔레그램 채널에서 라빈 아카데미는 데이터 유출 사건을 확인했습니다. 그들은 내부 네트워크 외부에서 호스팅되는 온라인 시스템 중 하나가 사이버 공격의 표적이되어 일부 교육 참석자의 사용자 이름과 전화 번호가 유출되었다고 말했습니다. 그러나 아카데미는 공격이 평판을 손상시키고 대부분의 유출 된 데이터가 무효화되었다고 주장했습니다.
"이 모델은 MOIS가 초기 채용 및 선별 과정을 위임하면서도 설립자와 정보 서비스 간의 직접적인 관계를 통해 운영 통제권을 유지할 수 있도록합니다."라고 Gharib은 말했습니다. "이 두 가지 구조는 MOIS가 사이버 작전을 위해 인적 자원을 개발하면서 정부에 대한 직접적인 책임을 피할 수 있게 해줍니다."