Durante um período de intensa instabilidade social no Irã, pesquisadores em segurança digital identificaram uma nova operação cibernética contra organizações civis e ativistas. Nesse contexto, a campanha, chamada RedKitten, explora temas sensíveis ligados a protestos populares. Com isso, os atacantes induzem as vítimas a executar arquivos maliciosos em seus próprios sistemas.
A atividade iniciou-se no início de 2026. Ao mesmo tempo, o país enfrentava manifestações contra a alta inflação, a crise econômica e a repressão estatal. Por esse motivo, o conteúdo das iscas digitais foi cuidadosamente alinhado ao cenário político.
- Leia também: Duas vulnerabilidades de execução remota de código (RCE) de dia zero no Ivanti EPMM foram exploradas ativamente; atualizações de segurança foram lançadas.
- Leia também: Pesquisadores descobrem extensões do Chrome que abusam de links de afiliados e roubam acesso ao ChatGPT.
- Leia também: O UAT-8099, com ligações à China, ataca servidores IIS na Ásia com o malware de SEO BadIIS.
A análise técnica mostra que os operadores falam persa e demonstram alinhamento com interesses estratégicos iranianos. Embora não exista atribuição governamental oficial, o conjunto de métodos, temas e alvos indica uma operação de ciberespionagem com motivação política.
O estudo foi conduzido pela empresa francesa de segurança HarfangLab. Segundo os pesquisadores, os ataques focaram em organizações e indivíduos envolvidos na documentação de abusos de direitos humanos.
Arquivos enganosos como ponto de entrada
O ataque começa com arquivos compactados distribuídos por canais digitais. Dentro desses pacotes, há planilhas do Microsoft Excel com macros maliciosas. Além disso, os documentos simulam listas de vítimas fatais de protestos recentes em Teerã. Assim, os arquivos criam um forte apelo emocional.
Quando a vítima habilitar as macros, o código ativa um carregador malicioso. Em seguida, o sistema recebe um implante desenvolvido em C#. Esse implante usa a técnica de injeção via AppDomainManager, o que ajuda a evitar detecção por mecanismos tradicionais.
Funcionalidades do malware e controle remoto
O backdoor identificado, conhecido como SloppyMIO, opera de forma modular. Para isso, ele utiliza serviços legítimos, como GitHub e Google Drive, para baixar componentes adicionais. Dessa forma, o bloqueio por soluções de segurança se torna mais difícil.
Além disso, o malware usa o GitHub como um resolvedor de dead drop. A partir daí, ele recupera URLs do Google Drive que hospedam imagens. Nessas imagens, o código extrai sua configuração por esteganografia. Entre os dados obtidos estão o token do bot do Telegram, o ID do chat e links para módulos adicionais.
O SloppyMIO suporta até cinco módulos diferentes, incluindo:
- cm, que executa comandos por meio do cmd.exe
- coleta de arquivos, que compactar dados em arquivos ZIP compatíveis com os limites da API do Telegram
- gravação remota, que salva arquivos em %LOCALAPPDATA%\Microsoft\CLR_v4.0_32\NativeImages\ usando imagens recebidas do Telegram
- pr, que cria tarefas agendadas para persistência a cada duas horas
- ra, que inicia novos processos no sistema comprometido
Comunicação com operadores e expansão do ataque
Além das funções locais, o malware se comunica com um servidor de comando e controle. Por meio dessa conexão, ele envia sinais ao chat do Telegram configurado, recebe instruções e retorna os resultados ao operador.
Entre as ações suportadas estão:
- baixar módulos adicionais
- executar comandos remotamente
- iniciar aplicativos
- exfiltrar arquivos coletados
Segundo a HarfangLab, o SloppyMIO consegue armazenar módulos remotamente, executar comandos arbitrários e implantar novos malwares. Ao mesmo tempo, ele mantém persistência usando tarefas agendadas e envia atualizações de status ao operador via API do Telegram Bot.
Alvos identificados e alcance da campanha
As análises indicam que cerca de 50 pessoas foram diretamente afetadas. Entre os alvos, estão ativistas de direitos humanos, acadêmicos, membros da comunidade curda, líderes empresariais e indivíduos ligados a órgãos governamentais.
Além disso, os atacantes também exploraram aplicativos de mensagens, como o WhatsApp, para distribuir links maliciosos. Com isso, a campanha ampliou seu alcance.
Ciberespionagem iraniana contra civis: um padrão recorrente
A campanha RedKitten se insere em um histórico mais amplo de operações digitais atribuídas a grupos iranianos. Nesse cenário, atores como o Charming Kitten já utilizaram técnicas semelhantes para vigiar dissidentes e organizações civis.
As ligações com agentes iranianos se baseiam em vários fatores. Entre eles, destacam-se o uso do idioma farsi, os temas das iscas e a semelhança tática com campanhas anteriores, como a da Tortoiseshell, que também explorou documentos Excel maliciosos e injeção via AppDomainManager.
Riscos crescentes para organizações civis
A operação demonstra como campanhas modernas combinam engenharia social, infraestrutura legítima e automação avançada. Por esse motivo, ONGs e ativistas enfrentam riscos cada vez maiores.
Para reduzir a exposição, essas organizações precisam adotar políticas rigorosas de segurança digital. Em especial, o cuidado com documentos recebidos de fontes externas se torna essencial.
Fonte: The Hacker News— https://thehackernews.com/2026/01/iran-linked-redkitten-cyber-campaign.html
