HackerNews

HackerNews
新型 AI 生成恶意软件攻击活动瞄准伊朗抗议相关人士

新型 AI 生成恶意软件攻击活动瞄准伊朗抗议相关人士

作者: hackernews 日期: 2026-02-02 分类: 黑客事件, 今日推送, 恶意软件, 间谍网络
给文章评分:

HackerNews 编译,转载请注明出处:


一款新型恶意攻击活动正对伊朗境内人员传播恶意软件,目标群体疑似包括记录该国近期抗议浪潮中人权侵害事件的非政府组织及相关个人。


该攻击活动由法国网络安全公司 HarfangLab 的威胁研究团队发现,最早监测记录始于 2026 年 1 月初。该团队于1月23日获取恶意样本,并于1月29日发布了详细分析报告。


研究人员将此次活动命名为“RedKitten”。它通过散播伪造的、极具煽动性的“诱饵文件”,目标直指搜寻失踪人员信息或与政治异见相关的组织及个人。一旦用户中计,便会下载一个名为 SloppyMIO 的恶意软件植入体。该程序可实现数据采集与窃取、执行任意命令,还能通过计划任务持久化部署更多恶意软件


该恶意软件利用GitHub和Google Drive进行配置更新与模块化攻击载荷的获取,并通过Telegram进行命令与控制(C2)通信。


HarfangLab研究人员评估认为,该恶意软件是借助AI工具开发的,代码中存在多处大语言模型(LLM)辅助生成的痕迹。虽然目前无法将其明确归因于某个已知的威胁行为者,但发现攻击中使用的技术手段与伊朗国家背景攻击者已知手法吻合,且存在相关语言特征线索。研究人员明确表示,有充分依据判定该攻击活动源于与伊朗政府安全利益一致的威胁行为者


伪造法医档案,诱捕异见者与研究者
RedKitten攻击活动以波斯语命名为 “德黑兰法医医疗文件” 的加密 7z 压缩包为起点,包内包含 5 个恶意 Excel 表格。这些文件声称记录了 2025 年 12 月至 2026 年 1 月期间,德黑兰地区 200 名疑似抗议者的死亡名单,该时段正是伊朗境内反政权动荡频发期。


这些Excel文档被精心命名以伪装成官方记录(例如“最终名单_受害者_1404年12月_德黑兰_第一部分.xlsm”),内含 5 个工作表,均为捏造但极具冲击力的虚假数据。其中一个工作表列明遇难者个人信息及涉事安全部队,包括伊朗伊斯兰革命卫队(IRGC)、巴斯基民兵组织、情报部等;另一个工作表包含含毒理学检测结果在内的详细验尸报告;第三个工作表记录遗体移交家属的相关信息,最后一个 “帮助” 工作表诱导用户启用宏,进而触发恶意软件执行。


研究人员指出,这些诱饵旨在利用目标人群的情感创伤,精准打击那些活动家、记者或寻找失踪亲人的家庭。但研究人员指出,文件数据存在大量矛盾之处,例如年龄与出生日期不匹配、涉事医生工作量不符合常理等,足以证明数据系伪造。文件中包含每起死亡事件对应的具体涉事安全机构等细节,其设计目的是引发冲击感与紧迫感,研究人员称该手法与伊朗过往网络攻击操作一致。


SloppyMIO恶意程序:数据窃取与间谍监控能力
当用户打开恶意Excel文件并按照提示“启用内容”后,一个隐藏在文档中的VBA宏便被激活。该宏会暗中释放更具破坏性的载荷 —— 一款由 C# 编写的恶意软件,即 HarfangLab 命名的 SloppyMIO。SloppyMIO 的命名源于其杂乱的设计架构:每次感染都会生成略有差异的代码,大幅提升安全工具的识别与拦截难度。


该恶意软件激活后,会通过多种隐蔽手段规避检测。其会将 AppVStreamingUX.exe 等合法 Windows 程序复制到隐藏文件夹,再强制该程序加载恶意代码,伪装成系统正常组件运行。为实现持久化运行,该恶意软件会创建计划任务,确保电脑每次启动时自动加载自身。代代码中还遗留多处线索,证明其至少部分由 AI 生成,例如命名怪异的变量及类似自动生成的注释内容。


与连接传统可疑C2服务器的恶意软件不同,SloppyMIO使用Telegram接收指令。其首先会向黑客控制的 Telegram 机器人发送 “信标” 消息,告知受感染设备已上线。其首先会向黑客控制的 Telegram 机器人发送 “信标” 消息,告知受感染设备已上线。为进一步规避检测,黑客采用隐写术,将恶意软件配置信息隐藏在表情包、图库图片等看似正常的图像中 —— 即把数据藏匿于图片难以察觉的细微信息里。


安装完成后,SloppyMIO 可执行多项间谍与破坏任务,具体包括:

  • 收集并外泄文件。

  • 在受害者计算机上执行任意命令。

  • 下载额外的恶意软件。

  • 安装用于长期控制的后门。

攻击者可通过Telegram远程下令,指挥恶意软件搜索特定文档、运行程序,甚至向其他设备扩散。某部分版本的恶意软件还会通过计划任务实现持久化:即便被清除,也会自动重新安装。

受害者分析与攻击归因 这些恶意样本由HarfangLab位于荷兰的研究人员上传至在线扫描平台。研究人员表示,无法确认样本上传者是攻击目标对象还是相关研究人员。

报告写道:“我们认为,此次活动的目标可能指向那些参与记录近期人权侵犯行为、以及揭露伊朗政权对抗议者施加骇人暴力的非政府组织与个人。”

尽管未做最终归因,但研究人员指出,RedKitten的感染链与伊朗、且与伊斯兰革命卫队(IRGC)相关的威胁组织“Yellow Liderc”(又名Imperial Kitten,编号TA456)的战术、技术和程序存在重叠。“值得注意的是,该组织过去就曾利用恶意Excel文档,通过‘AppDomain管理器注入’技术投递.NET恶意软件,且同样劫持了AppVStreamingUX.exe这一合法Windows程序。”

此外,研究人员还从RedKitten攻击基础设施中发现多项线索,表明威胁行为者与已知伊朗关联威胁组织存在关联,且使用波斯语。例如,自 2022 年起,多个伊朗威胁集群的攻击活动中,就曾出现以 GitHub 作为死信解析器(DDR)、以 Telegram 作为命令与控制(C2)信道的手法。研究人员甚至提及,攻击者在载荷中“戏谑地”使用了小猫图像,这或许是在调侃安全行业常用“Kitten”(小猫)来命名伊朗关联黑客组织的惯例。

研究人员总结道:“由于伊朗关联威胁行为者之间存在大量手法重合,且大语言模型在攻击活动中的应用日益广泛,对其进行精准区分的难度正不断提升。赤砂风暴(Crimson Sandstorm)等组织及伊朗整体高级持续性威胁(APT)生态中,均已出现此类趋势。”

消息来源:infosecurity-magazine

本文由 HackerNews.cc 翻译整理,封面来源于网络;

转载请注明“转自 HackerNews.cc”并附上原文