Un hacker di lingua farsi, allineato con gli interessi statali iraniani, è sospettato di essere dietro una nuova campagna mirata a organizzazioni non governative e a individui coinvolti nella documentazione di recenti violazioni dei diritti umani.
L’attività, osservata da HarfangLab nel gennaio 2026, è stata battezzata RedKitten. La campagna coincide con le disordini nazionali in Iran, avviatisi alla fine del 2025 per protestare contro l’inflazione crescente, l’aumento dei prezzi alimentari e la svalutazione della valuta. La successiva repressione ha provocato gravi perdite umane e un blackout di internet.
Meccanismi di Attacco
Il malware utilizza GitHub e Google Drive per la configurazione e il recupero di payload modulari, con Telegram come piattaforma di comando e controllo. L’attore delle minacce potrebbe fare affidamento su modelli di intelligenza artificiale (LLM) per orchestrare gli strumenti necessari. L’attacco inizia con un archivio 7-Zip contenente documenti Excel macro-infetti, che dichiarano di includere dettagli su manifestanti deceduti a Teheran tra il 22 dicembre 2025 e il 20 gennaio 2026.
Il malware, noto come SloppyMIO, sfrutta GitHub per ottenere URL di Google Drive, contenendo dettagli sul token del bot Telegram e sull’ID chat di Telegram. Supporta diverse funzionalità, compresi comandi per l’esecuzione e l’esfiltrazione di file. Questa infrastruttura rende difficile il tracciamento tradizionale, ma espone anche metadati utili.
