Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Puertas traseras Puerta trasera de SloppyMIO

Puerta trasera de SloppyMIO

Por Mezo en Puertas traseras, Amenaza persistente avanzada (APT)
Traducir a:

Un actor de amenazas de habla farsi, considerado aliado de los intereses del Estado iraní, es sospechoso de orquestar una nueva campaña de ciberespionaje dirigida a organizaciones no gubernamentales y personas involucradas en la documentación de recientes violaciones de derechos humanos. Investigadores de seguridad identificaron la actividad en enero de 2026 y la identificaron con el nombre clave RedKitten.

Contexto político y estrategia de focalización

La campaña coincide estrechamente con los disturbios generalizados en Irán que comenzaron a finales de 2025, impulsados por una fuerte inflación, la escalada de los precios de los alimentos y una grave devaluación de la moneda. Las posteriores medidas represivas del gobierno, según se informa, provocaron numerosas víctimas y prolongadas interrupciones de internet. La operación parece diseñada para explotar este entorno, aprovechándose de quienes buscan información sobre manifestantes desaparecidos o fallecidos, utilizando la angustia emocional para infundir urgencia y reducir el escepticismo.

Vector de infección inicial y desarrollo impulsado por LLM

La cadena de intrusión comienza con un archivo comprimido 7-Zip con un nombre de archivo en farsi. Contiene hojas de cálculo de Microsoft Excel con macros maliciosas. Estos archivos XLSM pretenden enumerar a los manifestantes asesinados en Teherán entre el 22 de diciembre de 2025 y el 20 de enero de 2026; sin embargo, inconsistencias como la falta de coincidencia en las edades y fechas de nacimiento indican que los datos son falsos. Al habilitar las macros, un dropper basado en VBA implementa un implante de C# llamado 'AppVStreamingUX_Multi_User.dll' mediante la inyección de AppDomainManager.

El análisis del código sugiere que probablemente se utilizaron modelos de lenguaje grandes en el desarrollo, basados en la estructura de la macro, las convenciones de nomenclatura y los comentarios integrados que se asemejan a indicaciones automáticas o instructivas.

Arquitectura y capacidades de la puerta trasera SloppyMIO

La puerta trasera implantada, identificada como SloppyMIO, depende en gran medida de plataformas legítimas de colaboración y en la nube. GitHub se utiliza como punto de resolución para obtener URL de Google Drive que alojan imágenes que ocultan datos de configuración mediante esteganografía. La configuración extraída incluye credenciales de bots de Telegram, identificadores de chat y enlaces a cargas útiles adicionales.

SloppyMIO admite múltiples módulos funcionales que permiten la ejecución de comandos, la recopilación y exfiltración de archivos, la implementación de cargas útiles, la persistencia mediante tareas programadas y la ejecución de procesos. El malware puede descargar, almacenar en caché y ejecutar estos módulos bajo demanda, lo que otorga a los operadores un amplio control sobre los sistemas comprometidos.

Los módulos funcionales compatibles incluyen:

  • Ejecución de comandos a través del intérprete de comandos de Windows
  • Recopilación de archivos y exfiltración basada en ZIP ajustada a los límites de la API de Telegram
  • Escritura de archivos en un directorio de datos de aplicación local mediante cargas útiles codificadas con imágenes
  • Creación de tareas programadas para ejecución recurrente
  • Iniciación de proceso arbitrario
  • Comando y control a través de Telegram

Además de la entrega modular de la carga útil, SloppyMIO mantiene una comunicación continua con sus operadores mediante la API de Telegram Bot. El implante registra el estado del sistema, solicita instrucciones y transmite los datos recopilados a través de los chats de Telegram, a la vez que admite la asignación directa de tareas desde un punto final de comando y control independiente.

Los comandos del operador observados incluyen:

  • Activación de la recopilación y exfiltración de archivos
  • Ejecución de comandos de shell arbitrarios
  • Lanzar aplicaciones o procesos específicos

Atribución y paralelos históricos

La atribución a actores alineados con Irán se basa en múltiples indicadores: artefactos en farsi, temas de señuelos vinculados a la inestabilidad interna y solapamiento táctico con campañas anteriores. Cabe destacar las similitudes con operaciones atribuidas a Tortoiseshell, que anteriormente abusó de archivos maliciosos de Excel e inyectó AppDomainManager, así como con una campaña de 2022 vinculada a un subclúster de Nemesis Kitten que utilizó GitHub para distribuir la puerta trasera Drokbk. El creciente uso de herramientas asistidas por IA dificulta aún más la diferenciación de actores y la confianza en la atribución.

Operaciones de phishing paralelas y un impacto más amplio

Por otra parte, los investigadores revelaron una campaña de phishing distribuida a través de WhatsApp que utiliza una interfaz web de WhatsApp falsificada, alojada en un dominio DuckDNS. La página sondea continuamente un endpoint controlado por el atacante para mostrar un código QR activo vinculado a la sesión web de WhatsApp del atacante. Las víctimas que escanean el código, sin saberlo, autentican al atacante, lo que les otorga acceso completo a la cuenta. La infraestructura de phishing también solicita permisos del navegador para acceder a la cámara, el micrófono y la geolocalización, lo que permite la vigilancia en tiempo real.

Hallazgos adicionales indican actividad relacionada destinada a robar credenciales de Gmail, incluyendo contraseñas y códigos de autenticación de dos factores, mediante páginas de inicio de sesión falsificadas. Aproximadamente 50 personas se han visto afectadas, entre ellas miembros de la comunidad kurda, académicos, funcionarios gubernamentales, líderes empresariales y otras figuras de alto perfil. Los responsables de estos ataques de phishing y sus motivaciones precisas aún no se han confirmado.

Técnicas operativas y sus implicaciones defensivas

El uso extensivo de plataformas como GitHub, Google Drive y Telegram dificulta el rastreo tradicional basado en la infraestructura, a la vez que introduce metadatos explotables y riesgos de seguridad operativa para los atacantes. En combinación con la creciente adopción de la IA por parte de los actores de amenazas, campañas como RedKitten subrayan la necesidad de que los defensores se centren en el análisis del comportamiento, la validación de contenido y la concientización del usuario, en lugar de basarse únicamente en indicadores de infraestructura.

Tendencias

Estafa por correo electrónico de aviso de fallo de...

Suplantación de identidad (phishing), Correo basura
Es fundamental mantenerse alerta al recibir correos electrónicos inesperados. Los ciberdelincuentes suelen aprovecharse de la confianza y la urgencia para engañar a los destinatarios y hacer que tomen decisiones perjudiciales. Los mensajes fraudulentos suelen estar cuidadosamente diseñados para parecer legítimos, aunque no estén asociados con ninguna empresa, organización o proveedor de...

Mas Visto

Cargando...