Siber RedKitten 针对伊朗攻击人权非政府组织的网络活动，利用人工智能和电报进行数字间谍活动

雅加达 - 一项新的网络间谍活动被揭露，该活动与伊朗国家利益有关，其目标是人权非政府组织以及记录伊朗最新侵犯人权指控的活动家和个人。该活动被称为RedKitten。

2026年1月，法国网络安全公司HarfangLab检测到该活动。据称，RedKitten运动与2025年底以来席卷伊朗的全国性骚乱浪潮相吻合，这是由通货膨胀飙升，食品价格上涨以及货币贬值造成的。据报道，安全部队对抗议活动的镇压导致许多人死亡，互联网也普遍瘫痪。

“恶意软件依赖GitHub和Google Drive来配置和提取模块化有效载荷，并使用Telegram作为命令和控制手段，”HarfangLab在其报告中表示。

这一运动之所以引人注目，是因为有充分的证据表明，威胁行为者利用大型语言模型（LLM）或基于人工智能的语言模型来构建和组织其整个攻击设备。攻击从一个名为Farsi的7-Zip存档开始，其中包含一个格式为XLSM的Microsoft Excel文档，其中包含一个恶意宏。

电子表格声称包含2025年12月22日至2026年1月20日期间在德黑兰被杀的抗议者的数据。然而，它包含一个危险的VBA宏，当激活时，它充当了一个名为AppVStreamingUX_Multi_User.dll的C#基于植入物的滴管，使用AppDomainManager注入技术。

HarfangLab认为，VBA宏很可能是由LLM生成的。这可以从“VBA代码的整体风格，变量和方法名称”以及“PART 5：报告结果和成功计划”等结构化注释中看出。

据称，这次袭击特别针对那些正在寻找失踪人员信息的人，利用受害者的情绪压力来制造虚假的紧迫感并引发感染链。对电子表格中的数据的分析，包括年龄和出生日期之间的不一致，表明数据很可能是伪造的。

该运动使用的后门被称为SloppyMIO。该恶意软件利用GitHub作为死掉的分辨器，以获取存储包含隐藏的图像的Google Drive URL，这些图像以隐藏的方式进行隐藏。这些信息包括Telegram bot令牌，Telegram聊天ID以及各种附加模块的链接。

支持至少五个模块，即cm用于通过cmd.exe执行命令，do用于从受害者系统收集文件并将其以ZIP格式存档，Telegram API大小限制，up用于将文件写入%LOCALAPPDATA%\Microsoft\CLR_v4.0_32\NativeImages\目录，其中图像中的数据被编码，pr用于创建定时任务，以通过每两小时运行可执行文件来保持持久性，以及ra用于运行新进程。

此外，恶意软件能够通过向配置好的Telegram聊天ID发送信标与命令和控制（C2）服务器通信，接收其他指令，并将执行结果再次发送给运营商。支持的命令包括下载以运行do模块，cmd以运行cm模块，以及运行app以启动特定进程。

“恶意软件可以从远程存储中提取和保存多个模块，运行任意命令，收集和导出文件，并通过计划任务持久性传播额外的恶意软件，”HarfangLab说。 “SloppyMIO使用Telegram Bot API作为命令和控制，向运营商发送状态消息，检查命令并发送被盗文件。”

归因于伊朗演员是基于存在波斯语文物、攻击诱饵主题以及与以前运动的战术相似性。其中之一是Tortoiseshell，它还使用危险的Excel文档通过AppDomainManager注入技术传播IMAPLoader。

选择GitHub作为死掉的分辨器也不是什么新鲜事。2022年底，Secureworks（现为Sophos的一部分）透露了一个名为Nemesis Kitten的伊朗国家集团子群体的活动，该活动利用GitHub分发名为Drokbk的后门。

这种情况因网络犯罪分子采用人工智能工具而变得更加复杂，这使得归因和检测工作变得更加困难。

“威胁行为者对GitHub、Google Drive和Telegram等商品基础设施的依赖阻碍了传统的基于基础设施的跟踪，但矛盾的是，它也打开了有用的元数据，并为行为者带来了独特的运营安全挑战，”HarfangLab说。

这一披露发生在英国伊朗活动家和独立网络间谍研究员纳里曼·加里布（Nariman Gharib）披露另一项使用“whatsapp-meeting.duckdns[.]org”链接的网络钓鱼活动几周后。该链接通过WhatsApp传播，并通过一个假的WhatsApp Web登录页面欺骗受害者。

“这个页面每秒通过/api/p/{victim_id}/检查攻击者的服务器，”Gharib解释说。“这允许攻击者直接从他们自己的WhatsApp Web会话中向受害者提供QR码。当目标用手机扫描它时，他们以为他们将加入一个“会议”，他们实际上验证了攻击者的浏览器会话。攻击者获得了受害者WhatsApp帐户的完全访问权限。”

该钓鱼页面还要求浏览器访问相机，麦克风和地理位置的权限，因此它可以像监视设备一样工作，能够实时录制受害者的照片，音频和位置。到目前为止，尚不清楚谁是该运动背后的肇事者，以及他们的主要动机是什么。

TechCrunch记者Zack Whittaker进一步追踪了这项活动，他表示，该活动还旨在通过提供收集密码和双因素身份验证（2FA）代码的假Gmail登录页面来窃取Gmail凭据。据报道，大约有50人成为受害者，包括库尔德社区的普通居民，学者，政府官员，商人以及其他高级人物。

这一发现是在伊朗黑客组织Charming Kitten经历了一次重大泄露后不久发生的，该泄露揭露了其组织结构，内部工作方式以及关键人员。泄漏还揭露了一个名为Kashef的监控平台的存在 - 也被称为Discoverer或Revealer - 用于通过结合与伊朗伊斯兰革命卫队（IRGC）有关的各个部门的数据来跟踪伊朗人和外国人。

2025 年 10 月，Gharib 还发布了一个数据库，其中包含 1,051 名在 Ravin Academy 参加各种培训计划的个人，Ravin Academy 是伊朗情报和安全部 (MOIS) 的两名运营商，Seyed Mojtaba Mostafavi 和 Farzin Karimi 于 2019 年成立的一所网络安全学校。该机构于 2022 年 10 月因支持和促进 MOIS 的运营而受到美国财政部的制裁。

Ravin Academy提供信息安全，威胁狩猎，红队，数字取证，恶意软件分析，安全审计，渗透测试，网络防御，事件响应，漏洞分析，移动渗透测试，反向工程，安全研究等领域的培训。

在2025年10月22日官方Telegram频道上的一份声明中，Ravin Academy证实了数据泄露的发生。他们称，一个托管在其内部网络之外的在线系统成为网络攻击的目标，导致部分培训参与者的用户名和电话号码泄露。然而，该学院声称，这次袭击旨在破坏其声誉，并且大部分泄露的数据都是无效的。

“这种模式使MOIS能够委托最初的招聘和筛选过程，同时通过其创始人与情报部门的直接关系保持运营控制，”Gharib说。 “这种双重结构使MOIS能够开发网络行动的人力资源，同时保持与政府直接归属的距离。”